[Eisfair] [e1] komische Einträge in der messages.log -> Hack?

[Thomas Lutze]

Hi Fabian,

Am 22.10.2013 16:12, schrieb Fabian Törner:

> php Backdoor schon möglich... wenn ist die Frage worüber...

bei Joomla gibt es eine Schwachstelle in älteren Versionen des 
JCE-Editor. Hierüber kann die Upload-Funktion des Editors ausgenutzt 
werden, um gefakte Bilddateien im Bildverzeichnis abzulegen.
In diesen gefakten gif-Dateien steckt php-code, über diesen der Hacker 
eine php-Shell hochladen kann und sich so uneingeschränkten Zugriff 
(zumindest innerhalb der Webroot) verschafft und zB Spam versendet (über 
die php-Mailfunktion), auf nette P...o-seiten umleitet etc.
Bei der von mir übernommenen Seite war es Spam.
Dummerweise fand der erste Angriff 14 Tage vor meiner Übernahme der 
Seite statt und ich hatte nichst bemerkt. Also Update gezogen, alles 
upgegradet und wollte eigentlich die erneuerte Seite wieder online 
stellen. Aber da hatte der provider die Seite schon gesperrt.
Und mein Backup war bereits auch kompromittiert.
Also alles komplett neu machen. Sche..e.


> Wo finde ich die log Datei vom Apachen?

normalerweise unter "/var/www/log/"

Aber wie gesagt, das war bei einer Joomla-Installation.
Muss bei dir nicht so sein.

Sollte jedoch so etwas ähnliches [1]  mit einer der von dir geposteten 
IP enthalten sein, würde ich genauer nachsehen, ob da fremder code 
vorhanden ist. Stichwort "Zeitstempel"

Die hier angegebenen Verzeichnisse beziehen sich halt auf Joomla.

[1] "POST //index.php?option=com_jce&task=plugin&plugin=imgman 
ager&...xxx HTTP/1.1 " 200 70 "-" "BOT/0.1 (BOT for JCE)"
"POST //index.php?option=com_jce&task=plugin&plugin=imgman ager&...xxx 
HTTP/1.1" 200 36 "-" "BOT/0.1 (BOT for JCE)"
"GET //images/stories/story.php HTTP/1.1" 200 15 "-" "BOT/0.1 (BOT for 
JCE)"

Thomas