Joomla Seite gehackt – Massenmailversand

Die Situation war folgende. Ein Webseite aufgebaut auf Joomla 1.5.26 wurde Opfer eines Hacks und diente dem Massenmailversand, also als Spamschleuder. Es wurde mehrere 10.000 Mails innerhalb eines Tages versendet. Nun ist natürlich grundlegend Joomla in der Version 1.5.x veraltert und sollte aktualisiert werden, aber nun gut. Nachfolgend ein paar Schritte die mir bei der Findung der Ursache und Lösung des Problems halfen. Das ist nun mehr als 4 Wochen her und ein Problem ist seitdem nicht mehr aufgetreten, wobei die Webseite wieder 100% läuft .

Stoppen des Mailversandes

Soweit möglich, sofortiger Stopp des Mailversandes von diesem Account, bzw. über diesen Account. Je nach eingesetzter Software unterschiedlich. Ggf. Postfix z.B. über „/etc/init.d/postfix stop“ komplett anhalten.

Überprüfung der laufenden Prozesse:

# ps auxwf | grep ‚ R‘

Hierfür wird Rootzugriff auf dem Server benötigt. Alles was hier auffält und nicht so sein sollte, muss weiter kontrolliert werden. Bei mir war alles in Ordnung.

Überprüfung des Mailheader einer Spam-Mail:

Mit dem Befehl  „mailq“ die Queue anzeigen und eine Mail auswählen,  die mittels „postcat -q MAILID“ näher betrachtet wird. Dabei fiel mir eine Stelle besonders auf:
X-PHP-Originating-Script: 5006:b8i5bk.php
X-Mailer: MailStyleVersion4.2.3

In der ersten zeile steht das Script was hier aktiv ist und die Zweite Zeile der Mailer. Da dies bei der Überprüfung weiterer Mails aus der Queue identisch war, folgte die Suche nach dem Script im Webverzeichnis:

Script in folgendem Verzeichnis von Joomla gefunden:
/components/com_user/b8i5bk.php

Dieses gelöscht bzw. zur Beiweissischerung in ein sicheres Verzeichnis verschoben.

Weitere Überprüfung der Dateien:

Das Joomla Verzeichnis nach weiteren Auffälligkeiten durchsucht und fündig geworden:

direkt im Joomla Root:

– .sqmaildata (.aba057.php und error.php)
– cpmove.psql (.84fe93.php und javasript.php)- private (.22dc76.php und sql.hpp)
– php (.4ab929.php und help.php)
– projekte (.fe431f.php und menu.php)
– statistik (.53c69a.php und error.php)

Diese wurden ebenfalls gesichert und somit aus dem Webverzeichnis entfernt.

Abschließend alle Dateien die älter als 3 Tage sind anzeigen lassen:

# find /WEBDIR/JOOMLA -type f -mtime +3

Das sah soweit gut aus.

Rechte der Dateien und Verzeichnisse neu gesetzt:

find /WEBDIR/JOOMLA -type f -exec chmod 644 {} +
find /WEBDIR/JOOMLA -type d -exec chmod 755 {} +

Abschließend Betrachtung von Joomla selbst im Administratorbereich und Update der Komponenten:

Joomla JCE von 2.3.1 auf 2.3.4.4
AcyMailing Starter auf 4.5.1

Außerdem alle unnötigen Komponnenten und Plugins, sowie Module die nicht gebraucht wurden, oder bereits deaktiviert wurden, deinstalliert. Darunter auch den Extplorer.

Alle Spammails vom lokalen Absender löschen Bsp.:“joomlamail@meine-domain.de“ aus der Queue löschen:

# mailq|grep ‘joomlamail@meine-domain.de’|awk {‘print $1′}|grep -v “(host”|tr -d ‘*!’|postsuper -d –

Hier kann selbstverständlich auch ein anderer Suchstring eingetragen werden. Ziel ist es nur diese Mails zu löschen und alle anderen zu behalten.

Danach war Ruhe. Somit war die Ursache höchstwahrscheinlich in einer veralterten Komponente zu suchen, die zudem ein Sicherheitsloch aufwies, wodurch ein Angriff mit der Folge als Spamer missbraucht zu werden, statt fand. Die hier vorgestellten Schritte sind bestimmt optimierbar und je nach Situation erweiterbar. Auch gibt es bestimmt noch mehr Möglichkeiten einem Spamer auf die Schliche zu kommen. Obige halfen mir.

4 thoughts on “Joomla Seite gehackt – Massenmailversand

  1. Michael

    Hallo,

    unser Magento Shop ist gehackt worden. Wir bieten Drohnen und RC Spielzeuge an. Nachdem ein IT Forensiker unser Onlineshop nach dem Hacking Angriff wieder repariert hat, fragte ich mich wie wir dies in Zukunft verhindern können. Die Aktion kostete uns 2900 EUR und ich weiß nicht ob wir Kundendaten verloren haben? Wahrscheinlich ist es.

    Auf meiner Suche habe ich 2 Angebote gefunden. Eines aus Deutschland und eines aus den USA. Kann mir jemand sagen was man von diesen Angeboten halten kann und für welches sollte ich mich entscheiden?

    Nr. 1 Deutschland
    https://janotta-partner.de/ITforensik.html

    Nr. 2 USA:
    https://sucuri.net/website-firewall/signup

    Freue mich auf Meinungen…
    Gruß Michael

    Reply
    1. JARVIS Post author

      Hallo Michael,
      das war eine teure Aktion. Nachfolgendes ist nur meine Meinung und keine Empfehlung. Das Thema ist aus IT-Sicht vielschichtig und fängt bei der Wahl des Shops, was Sicherheitsupdates verwendete Plugins, Module, Compontenten etc. angeht, über den Server und dessen Patchstand, Sicherheitseinstellungen, Backup, auch eine regelmäßige Betreuung von Server und Shop ist wichtig, und geht bis hin zum Netzwerk und der Firewall. Das im Groben – unter dem Strich ist es immer eine Frage von Aufwand und Nutzen, denn einen 100% Schutz gibt es nicht. Erst werden Lücken gefunden und dann geschlossen und wenn das Stopfen von diesen nicht schnell genug passiert, ist der Shop schnell „gehackt“.

      In deinem Fall hätte man auch ein Backup nehmen, das dann analyisieren und die Lücke schließen können, dann den Shop wieder online stellen. Meist sind es nicht gepatchte CMS, Blogs und Shops, oder gar schlecht konfigurierte Server die zum Hack führen. Preis je nach Aufwand und Dauer, wobei ich 2900€ für zu viel empfinde, kann mich aber täuschen (wird ja wohl ein Protokoll geben, oder?)<- IMO. Zu den Links - 1. ist Offline, was nicht unbedingt für sich spricht und 2.ist bekannt und ein gutes Produkt, jedoch würde ich mal deinen Hoster fragen, ob er nicht selber etwas anbietet, da die Application Firewall vor den Server geschaltet wird und den Datentransfer analyisiert, wobei das bei einem Hack ggf. schwierig bis unmöglich wird. Du könntest auch bestimmte Regionen (Asien, Ostblock etc. blockieren)...und ... und .. und 🙂

      Reply
  2. Maik Post author

    Hallo Gudrun,
    sorry kann ich dir gar nicht mehr so genau sagen, aber soweit ich noch weiß war eine veralterte Version des JCE-Editors Schuld. Wenn es die besagte Funktion bei dir ist, dann ist die Joomlaversion wohl nicht mehr aktuell oder 😉

    Reply
  3. Gudrun

    Wurden diese spam mails durch die Empfehlen Funktion der Weseite versendet? Bei mir war das der Fall und die Seite wurde vom Server vorerst deaktiviert.

    Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.