[Joomla 2.5] Nach Malwareangriff - Nur noch weiße Seite

[William_Wallace]

Hallo zusammen,
ich verwende auf einem Webserver Joomla 2.5 und nun ist die Webseite von einer anderen Seite (Diese wurde bei Google bereits gesperrt!) von Malware infiziert worden.

Wie genau, kann ich nicht sagen. Ich habe nun auf alles Zugriff, also Backend etc., völlig ohne Probleme. Allerdings wird die Webseite nur noch als weiße Seite angezeigt, bzw. um es etwas genauer zu beschreiben: Nach Aufruf der Seite wird einfach nichts mehr geladen.

Stelle ich mein Template um, wird die Webseite zum Teil noch geladen, aber irgendwo hapert es dann doch. Neuinstallation des Templates brachte keinen Erfolg.

Hat Jemand hier einen Tipp wie ich jetzt weiter vorgehe? Kennwörter habe ich soweit schon geändert und auch die Seite werde ich jetzt komplett offline nehmen, also nicht nur durch Deaktiveren im Backend.

 

[azereus]

schik mir mal den link per pn
ich guck mal drüber

/edit: welche plugins werden verwendet?

 

[Domi83]

Mich würde anschließend die Lösung interessieren. Habe Joomla 2.5 Systeme, und bei einem Bekannten von mir ist solch ein Phänomen auch mal aufgetaucht. Er hatte das System dann einfach 1zu1 zurück gesichert, ohne die Ursache zu erforschen...

 

[William_Wallace]

Lösung werde ich hier posten. @azereus ich schick dir eine PN.

Plugins: Phoca Gallery, Hit Counter (Mehr fallen mir aktuell nicht ein)

Vorab Danke!

 

[DerZock]

ich würde einmal versuchen in der Admin Oberfläche unter Site -> Cache leeren sämtliche Caches löschen.

 

[William_Wallace]

ich würde einmal versuchen in der Admin Oberfläche unter Site -> Cache leeren sämtliche Caches löschen.

Hatte ich vergessen, das habe ich schon gemacht. Ich habe mittlerweile auch alle Passwörter geändert.

Ergänzung (20. Juni 2013)

Also momentan sieht es schwer danach aus als wenn ich die Seite neu aufsetzen muss, ich finde nicht den Urspung des Bösen und muss wohl auf mein Backup von Mai zurückgreifen. Seither wurde zwar einiges angepasst, aber c´est la vie.

Allerdings werde ich dann irgendwann in der Zukunft, ohne das Schließen der Lücke, wohl erneut die Probleme haben.

Offensichtlich verursacht folgender Java Script Code, woher er auch immer kommen mag die Probleme. Oder besser gesagt, er scheint mir die Wurzel allen Übels zu sein.

  <script type="text/javascript">
window.addEvent('load', function() {
				new JCaption('img.caption');
			});
window.addEvent('domready', function() {
			$$('.hasTip').each(function(el) {
				var title = el.get('title');
				if (title) {
					var parts = title.split('::', 2);
					el.store('tip:title', parts[0]);
					el.store('tip:text', parts[1]);
				}
			});
			var JTooltips = new Tips($$('.hasTip'), { maxTitleChars: 50, fixed: false});
		});
  </script>

 

[WhiteShark]

Das Script holt sich nur alle Elemente mit der Klasse hasTitle und holt sich von jedem das Title-Attribut.
Abschließend wird eine Instant der Javascript Klasse "Tips" erstellt.
Das Script wirkt nicht gefährlich. Eher dient es dazu Tooltips zu erstellen.

 

[William_Wallace]

Ok alles klar. Vielen Dank, dann wird es das wohl auch nicht sein. Lokal wurde das Script nie aufgerufen daher hat es mich gewundert.

Dann bin ich mit meinem Latein so oder so am Ende. Ich werde die Seite neu hochladen, schneller und einfacher finde ich aktuell keine Lösung.

Aber mal noch eine weitere (wirklich doofe) Frage. Wir zur Hölle hat das überhaupt funktioniert? Eigentlich habe ich überall peinlichst auf die Sicherheitsvorschriften geachtet und auch keiner Eingabefelder auf der Seite.

Wirklich doof schreib ich daher, weil ich die Frage von Kunden von mir kenne "Warum habe ich denn jetzt einen Virus? Wie konnte das denn passieren?",.... na ja, gibt es 1000 Möglichkeiten.
Mich würde an der Stelle halt einfach mal interessieren wie sowas auf einem Webserver funktionieren könnte, rufen die dann einfach links auf und speisen darüber (über GET oder POST vlt.) schädlichen Code in die Page?

 

[Daaron]

Unsichere GET- und POST-Requests sind natürlich ein wichtiges Einfallstor. Das nächste wären Billig-Templates aus Osteuropa, so einen Fall hatten wir letztens bei einem Kunden (mit Wordpress). Die Dinger sind so billig, weil da die Lücke schon vorprogrammiert ist... Dann wäre da noch Passwort-Brute/Force. Außerdem gabs vor ner Weile bei Joomla ne schwere Sicherheitslücke bei irgend einer Editier- oder Bilderupload-Funktion...

 

[Domi83]

Bilder-Upload ist das Stichwort... Ich glaube es ist der Tiny Editor gewesen, der eine Sicherheitslücke beinhaltet.
Was auf jeden Fall begutachtet werden sollte, sind die Inhalte im Images Ordner. Ein Kunde von mir hat noch ein Joomla 1.5 was gerne angegriffen wird. Die ITler sind schon dabei, eine Migration auf 2.5 zu starten, aber es kommt gerne vor das durch irgend eine Lücke im Joomla 1.5.x Dateien hoch geladen werden die z.B. php Werte mit einer php.ini umschreiben sollen, dann kommt noch eine .htaccess dazu und ein paar verseuchte Dateien.

Ist zwar kein Vergleich mit 2.5, aber Vorsicht ist besser als Nachsicht

 

[Tigerass 2.0]

Gibt bei joomla immer wieder lücken, bei denen du zum bsp. Php Dateien auf den Server laden kannst da eine uploadfunktion fehlerhaft ist. Dann nur noch bequem die php aufrufen, und du weißt ja was mit php alles geht. XSS ist auch ne möglichkeit wie sowas passieren kann.