Hi
ich hab folgendes Problem!
Heute um 9 Uhr wollte ich meine emails aktualisieren und merkte, dass irgendwas faul ist, weil über 900 undelivered meldung im posteingang waren.
Darauf schaute ich über ssh meine mail log an und stellte fest, das ich Opfer einer Spamschleuder geworden war, darauf hab ich sofort postfix beendet und mich auf die Suche begeben.
Als erstes Überprüfte ich von welcher email das alles aus ging und fand sie schließlich
webmaster@bv......de
darauf überprüfte ich meine Website und stellte fest, das jemand über eine Sicherheitslücke in Joomla 1.5 ein mailspammer hochgeladen hatte
1-900hustler.php
Daraufhin überprüfte ich die access-log.txt
und stellte fest das er immer wieder eine inc.php im standart verzeichnis aufgerufen hatte
Code:
41.124.164.63 - - [02/Jul/2011:18:00:31 +0200] "GET /inc.php HTTP/1.1" 200 112 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:00:35 +0200] "GET /favicon.ico HTTP/1.1" 200 1148 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:00:36 +0200] "POST /inc.php HTTP/1.1" 200 4877 "http://www.bv-aschbuch.de/inc.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:01:02 +0200] "POST /inc.php HTTP/1.1" 200 4956 "http://www.bv-aschbuch.de/inc.php" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
41.124.164.63 - - [02/Jul/2011:18:01:13 +0200] "GET /1-900hustler.php HTTP/1.1" 200 1007 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.0.19) Gecko/2011012515 Firefox/3.0.19 Flock/2.6.2"
Jetzt brauche ich eure Hilfe, denn das Löschen dieser Dateien hat ja nicht sehr viel Sinn, weil ja die Lücke weiterhin besteht. Desshalb möchte ich von euch wissen, was diese Sicherheitslücke ist und wie ich sie schließen kann.
mfg
Tobi