Aus dem Alltag eines IT'lers

Bieber LAN und Putzarbeiten

Hacks Da bin ich kaum auf der 32. Bieber-LAN angekommen, als ich eine E-Mail meines Providers erhalte, dass auf einem meiner Webspaces Schadsoftware bzw. Schad-Scripts gefunden wurden. Na, super !
Betroffen ist eine Joomla-Installation oder vermutlich eher ein Modul oder eine Komponente darin.
Im Webspace fand sich unter "Components" eine "a.php" sowie eine "h2d45e.php". Ein Blick ins Access-Log offenbarte:

QUOTE:

188.208.33.18 - - [16/May/2014:15:41:03 +0200] "POST /index.php?nn_qp=1&url=http://www.nonumber.nl/ HTTP/1.1" 200 35147 www.*******.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"
188.208.33.18 - - [16/May/2014:15:41:05 +0200] "POST /index.php?nn_qp=1&url=http://5.34.177.110/about/ HTTP/1.1" 200 3 www.*******.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"
188.208.33.18 - - [16/May/2014:15:41:05 +0200] "POST /index.php?nn_qp=1&url=http://www.nonumber.nl/about/ HTTP/1.1" 200 26 www.*******.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"
188.208.33.18 - - [16/May/2014:15:41:06 +0200] "POST /components/a.php HTTP/1.1" 200 238 www.********.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"
188.208.33.18 - - [16/May/2014:15:41:06 +0200] "GET /components/h2d45e.php HTTP/1.1" 200 56093 www.*******.de "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0" "-"


"Nonumber.nl" ist eine Joomla-Komponente, die Joomla offenbar mitkommt und auch bei mir installiert ist.
Die "http://5.34.177.110/about/" führt lediglich zu einem Webserver, der bei Aufruf die Meldung zurückgibt, dass er ordnungsgemäß funktioniert. Die IP selbst gehört zu: rot.aviationanything.com.
Es ist zum Brechen. Zugegebenermaßen: die Joomla-Installation lief noch mit 2.5.19. Also bügel' ich jetzt eben schnell die 2.5.20 drüber und lass' ein Monitor auf Dateiänderungen und -erstellungen laufen, weil ich jetzt erstmal keine Zeit und kein Interesse habe, mich den einzelnen Modulen und Kompnenten zu widmen. Heute nacht, wenn sich die Zockerei ein wenig gelegt hat und das Chillen anfängt, kann ich mich nochmal dransetzen. :-)

No comments

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
Was ergibt 17+4 ?

Submitted comments will be subject to moderation before being displayed.