Mal wieder ein altes Joomla ...

Ich habe die Welt verbessert. Zumindest ein wenig. Ursächlich war die Anfrage eines Webhosters dessen Server unter der Last zusammenbrach und dessen Admin nicht verfügbar war. Ich setzte mich also via Remote-Verbindung (ssh) "an den Server".

Ein Blick auf das Programm htop machte klar: Es war ein PHP-Skript, welches die Last erzeugte - nur welches war nicht auf den ersten Blick erkennbar. Ein weiterer Blick erst auf und dann in die Logfiles der zum Glück übersichtlichen Kundenzahl zeigte mir, dass eine Seite besonders intensiv "besucht" wurde.

Dort fand sich eine Joomla-Installation deren Alter mit "Asbach" richtig beschrieben ist - und deren Angreifbarkeit längst bekannt ist. Zuerst "fixte" ich das Leck in dem ich die gesamte Installation auf read-only setzte und dann machte ich mich daran, das Zeug zu durchsuchen wobei mir das Werkzeug "grep" gute Dienste leistete. Ich habe gefühlte 100 von Angreifer angelegte Dateien gelöscht welche gut daran zu erkennen waren, dass diese 301 Byte lang waren und vom Tag des Einbruchs stammten. Danach durchsuchte und editierte ich die vom Einbrecher veränderten Dateien. Wer auch immer das war - die Spuren zeigen nach Russland - hatte sich eine hübsche Umgebung geschaffen mit welcher er den Server fernbedienen konnte.

Benutzt wurde der Server zum Spamversand.

Dementsprechend fand ich noch heraus, dass 26 Gigabyte (das ist kein Schreibfehler) an "Bounces" in der Maildatei des Administrators gelandet waren - die ich ganz gewiss nicht durchsah sondern gleich löschte. Etliche tausend noch nicht zugestellte Mails (die auch bereits einmal zurückgewiesen wurden) habe ich aus ökonomischen Gründen auch einfach gelöscht.

Gedauert hat das alles, inklusive des längst überfälligen Updates des Betriebssystems, zwei Stunden.

Die Nachschau mit dem von mir gerne mal "Administratorenfernsehen" genanntem Programm tail habe ich dann (zur Kontrolle der Qualität) kostenlos gemacht - weil ich mich dabei auch ein wenig amüsiere: Der inzwischen bemitleidenwerte Angreifer sucht verzweifelt sein Zeug.

So soll es sein.


Weitere Informationen in diesem Bereich: