1-900hustler

[2_fast4_you]

Hi

ich hab folgendes Problem!

Heute um 9 Uhr wollte ich meine emails aktualisieren und merkte, dass irgendwas faul ist, weil über 900 undelivered meldung im posteingang waren.

Darauf schaute ich über ssh meine mail log an und stellte fest, das ich Opfer einer Spamschleuder geworden war, darauf hab ich sofort postfix beendet und mich auf die Suche begeben.
Als erstes Überprüfte ich von welcher email das alles aus ging und fand sie schließlich
webmaster@bv......de
darauf überprüfte ich meine Website und stellte fest, das jemand über eine Sicherheitslücke in Joomla 1.5 ein mailspammer hochgeladen hatte
1-900hustler.php

Daraufhin überprüfte ich die access-log.txt
und stellte fest das er immer wieder eine inc.php im standart verzeichnis aufgerufen hatte

Code:

41.124.164.63 - - [02/Jul/2011:18:00:31 +0200] "GET /inc.php HTTP/1.1" 200 112 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:00:35 +0200] "GET /favicon.ico HTTP/1.1" 200 1148 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:00:36 +0200] "POST /inc.php HTTP/1.1" 200 4877 "http://www.bv-aschbuch.de/inc.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:01:02 +0200] "POST /inc.php HTTP/1.1" 200 4956 "http://www.bv-aschbuch.de/inc.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:01:13 +0200] "GET /1-900hustler.php HTTP/1.1" 200 1007 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"

Jetzt brauche ich eure Hilfe, denn das Löschen dieser Dateien hat ja nicht sehr viel Sinn, weil ja die Lücke weiterhin besteht. Desshalb möchte ich von euch wissen, was diese Sicherheitslücke ist und wie ich sie schließen kann.

mfg
Tobi

[Borschti]

(07-05-2011 01:02 AM)2_fast4_you Wrote:  eine Sicherheitslücke in Joomla 1.5 ein mailspammer hochgeladen hatte

Du hast dir doch schon die Antwort selbst gegeben, aktuell ist joomla 1.6.4
Wie wäre es wenn du deine Software aktuell hälst damit solche sicherheitslücken auch mal geschlossen werden können.

[2_fast4_you]

das Problem ist ja, dass ich Joomla nicht updaten kann, weil sonst alle Komponenten und mein eigenes Template nutzlos wären.
In Joomla Foren fand ich auch noch keine Lösung.

[piccolo]

Hi Tobi,

hast du auch die letzte 1.5er Version von joomla installiert (ich glaube 1.5.23 oder so ...)?

Ansonsten wird dir nichts anderes bleiben als auf die aktuelle Version zu updaten und deine Module / Templates nach zu ziehen. Das wird dir wahrscheinlich eh blühen spätestens wenn die 1.5 ab gekündigt ist / wird.

Gruß
piccolo

[2_fast4_you]

Ja ich hab die aktuellste Version.

Aber ich denke eher das bei einer Komponente eine Sicherheitslücke besteht.

[Knut]

Wende Dich doch vertrauensvoll an ein Joomla-Forum. Dort findest Du sicherlich mehr Leute die Dir weiter helfen können... zumal es ja nichts mit ispCP zu tun hat.

Knut