Joomla 1.5.x Remote Admin Password Change

freakazoid · Aug 14, 2008

hi,

wurde heute Opfer dieses Exploits! Gibt es eine Möglichkeit Joomla zu patchen, thx.

*** hat sich ja mittlerweile erledigt, daher hab ich den Exploit mal entfernt - LX ***

lg freakazoid

edit: hat sich bereits erledigt:

http://www.joomlaos.de/Joomla_CMS_Downloads/Joomla_Core/Joomla_1.5.5_to_1.5.6-Stable_Patch.html

Elderan · Aug 14, 2008

Hallo,

4. Go to url : target.com/administrator/

Einfach den Ordner administrator zusätzlich per htaccess schützen.

Ansonsten gibts bestimmt Patches dagegen, nichts in den joomla Foren dazu gefunden? Aktuellste Version installiert?

freakazoid · Aug 14, 2008

Patch hab ich gefunden siehe oben. Komischerweise war der Administrator-Ordner via htaccess geschützt und die htpasswd nicht im web-folder. Wie kann sowas umgangen werden. Hab jetzt den Patch eingespielt und die Passwörter geändert. Ist das ausreichend oder soll ich das System neu aufsetzen. Könnte der FTP-Account auch übernommen worden sein, soll ich dort das Passwort auch lieber ändern bzw. SQL? Danke

Keci · Aug 14, 2008

Das hat man bestimmt in 2sek. gefixt. Du musst einfach alle Hochkommatas mit str_replace (oder preg_replace) löschen.

$db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.preg_replace('/\'/','',$db->Quote($token)));

freakazoid · Aug 14, 2008

Der Patch ist doch jetzt schon drin! Die größere Frage ist doch, wie sie an dem htaccess vorbei gekommen sind?

Elderan · Aug 14, 2008

Hallo,
also ohne Exploit ist soetwas schwer zu beantworten

Aber aus dem Gedächtnis:
Die Schwäche lag irgendwo in der index.php, über diese konnte man das Admin PW ändern.
Wenn aber der Adminbereich, sofern dieser _ausschließlich_ über /administrator/ erreichbar ist, noch zusätzlich per htaccess geschützt ist, kann man zwar das Admin PW ändern, man kommt aber nicht am htaccess vorbei.

Evt. gelangt man aber auch anders ins Admin Bereich, kenn mich mit Joomla nicht aus. Deswegen ist es ganz praktisch, denn Admin Bereich nochmal zusätzlich mittels htaccess zu schützen, am besten mit einem anderen PW.

Ansonsten:
Am besten alle Passwörter ändern. Sind die wirklich eingedrungen oder wurde nur das PW geändert?
Evt. auch noch mal alle Dateien neu aufspielen, sofern möglich, nicht das dort irgendwo eine PHP Backdoor eingebaut wurde.

freakazoid · Aug 15, 2008

Ja, sind wirklich eingedrungen! Es wurde mindestens ein Beitrag verändert. Hab glaub ich noch ein etwas älteres Backup zu Hause, allerdings bin ich imo nicht zu Hause. Werd ich die nächsten Wochen aber sicherlich mal einpielen. Mich würde interessieren, ob man auch andersweitig in den Administrator-Bereich kommt. Damit man das dann auch absichern kann.

Danke für deine Hilfe Elderan

smaster100 · Aug 15, 2008

Original von freakazoid
Ja, sind wirklich eingedrungen! Es wurde mindestens ein Beitrag verändert. Hab glaub ich noch ein etwas älteres Backup zu Hause, allerdings bin ich imo nicht zu Hause. Werd ich die nächsten Wochen aber sicherlich mal einpielen. Mich würde interessieren, ob man auch andersweitig in den Administrator-Bereich kommt. Damit man das dann auch absichern kann.

Danke für deine Hilfe Elderan

Wie schon gesagt wurde, kann eine htaccess über dem admin bereich viel verhindern.
Ich gehe davon aus, dass es sicher noch eine oder zwei lücken gibt, denen du aber mit einer htaccess entgegenwirken kannst. Wenn du dann auch noch zwei unterschiedliche, sichere passwörter wählst, so ist es schon sehr sicher!

beavisbee · Aug 16, 2008

@smaster100: vieleicht wäre es doch ganz hilfreich, die Postings des Threadstellers genau zu lesen:

Original von freakazoid
Komischerweise war der Administrator-Ordner via htaccess geschützt und die htpasswd nicht im web-folder. Wie kann sowas umgangen werden.

Original von freakazoid
Hab jetzt den Patch eingespielt und die Passwörter geändert. Ist das ausreichend oder soll ich das System neu aufsetzen. Könnte der FTP-Account auch übernommen worden sein, soll ich dort das Passwort auch lieber ändern bzw. SQL? Danke

Die Frage ist überhaupt erstmal WIE die Angreifer eingedrungen sind...
Läuft auf dem Server noch irgendwo ein PHPmyAdmin oder ähnliches?

Wenn ja: vieleicht sind die Angreifer auch irgendwie an die SQL-Daten gekommen und haben die Beiträge per Hand in der Datenbank geändert?!

Ich würde definitiv erstmal ALLE Passwörter ändern und nachschauen, ob nicht irgendwo auf dem Server noch eine PHP-Shell oder andere Hintertüren installiert wurden...

Ist das eigentlich ein eigener Server? vServer? oder nur Webspace irgendwo?
Was hast du für Möglichkeiten, irgendwelche Logfiles einzusehen?
Wie genau kannst du den Zeitpunkt des Angriffes eingrenzen?

freakazoid · Aug 18, 2008

Ist leider nur Webspace.

Hab also keine Einsicht in irgendwelche Log-Files. Kann das aber evtl. mit dem Anbieter mal abklären. Den Zeitraum des Hacks kann ich auf 2 plusminus 1 einschränken. Anhand der Log-Files könnte man sicherlich einiges herausfinden. FTP und SQL PW hab ich auf jeden Fall mal ändern lassen. PMA läuft auf dem Server. Werde aber sicherlich in der nächsten Zeit mehr auf updates achten.

beavisbee · Aug 22, 2008

Original von freakazoid
Den Zeitraum des Hacks kann ich auf 2 plusminus 1 einschränken.

Sekunden? Minuten? Stunden? Tage? Wochen?

Wo ist's denn eigentlich gehostet (bin ma neugierig...)?