Nach Goethes Zauberlehrling

Nicht nur das es ausreicht auf einer Website über ein Thema zu schreiben (Magento), nein, wenn bestimmte Wörter einfach nur fallen, wie .libs .php oder bogel .php, dann kommen die „Geister“

Mittlerweile im minutentakt finde ich Aufrufe aus der halben Welt, die nach besagten Dateien suchen.

Ich habe etwas über Joomla geschrieben, prompt kommen Angriffe, die auf Joomla Schwachstellen abzielen. Magento? Siehe oben.

Ich stelle mal die These auf, das es für die wirklichen Könner ein lukratives Geschäft ist, ihre Skripte an Interessierte anderer Kategorien zu vertreiben. Diese schauen ja gar nicht, ob A oder B wirklich installiert ist. Domain ins Skript eingetragen und dann durchtesten, irgendwann wird schon etwas passieren.

Allerdings, wie wird man diese Geister wieder los?

Selbst, wenn Themen gelöscht werden, in irgendwelchen Datenbanken scheint man dann wohl gelistet zu sein auf immer und ewig.

Verdächtige Dateien

Falls jemand u.g. Dateien in seinem System findet, dann wurde eine Backdoor platziert.

cilik.php
jahat.php
fatal.php
budak.php
demit.php
reload-x.pHp
.libs.php
406.php
wp-linknet.php
magic.php
indo.php
indeks.php
ramz.pHp
xGSx.php
bogel.php
myluph.php
polahi.php

Viele Angriffe probieren immer wieder auf diese oder ähnliche Dateien zuzugreifen.

So nach dem Motto, evtl hat ja schon jemand geschafft. Also, guter Rat, sichert euer System ab, so gut es eben geht. Wenn auch ein 100% Schutz meiner Meinung nach kaum möglich ist.

Joomla Angriffe

Hier wird nicht geschaut, ob Joomla überhaupt läuft, es wird einfach drauflos probiert

Anscheinend ist in ‚php-ofc-library‘ ein Bug enthalten und alle Packages die diese Bibliothek nutzen sind damit angreifbar.

/index.php?option=com_search
//cfg-contactform-16/inc/upload.php
/index.php?option=com_adsmanager&task=upload&tmpl=component
//cfg-contactform-15/inc/upload.php
//cfg-contactform-14/inc/upload.php
//cfg-contactform-13/inc/upload.php
//cfg-contactform-12/inc/upload.php
//cfg-contactform-11/inc/upload.php
/components/com_creativecontactform/fileupload/index.php
//cfg-contactform-10/inc/upload.php
//cfg-contactform-9/inc/upload.php
//cfg-contactform-8/inc/upload.php
//cfg-contactform-7/inc/upload.php
//cfg-contactform-6/inc/upload.php
/components/com_sexycontactform/fileupload/index.php
//cfg-contactform-5/inc/upload.php
//cfg-contactform-4/inc/upload.php
//cfg-contactform-3/inc/upload.php
//cfg-contactform-2/inc/upload.php
//cfg-contactform-1/inc/upload.php
/index.php?option=com_jdownloads&Itemid=0&view=upload
/administrator/components/com_bt_portfolio/helpers/uploadify/uploadify.php
/administrator/components/com_joomleague/assets/classes/open-flash-chart/ofc_upload_image.php
/administrator/components/com_redmystic/chart/ofc-library/ofc_upload_image.php
/administrator/components/com_maian15/charts/php-ofc-library/ofc_upload_image.php
/administrator/components/com_maianmedia/utilities/charts/php-ofc-library/ofc_upload_image.php
/administrator/components/com_jinc/classes/graphics/php-ofc-library/ofc_upload_image.php
/administrator/components/com_civicrm/civicrm/packages/OpenFlashChart/php-ofc-library/ofc_upload_image.php
/administrator/components/com_civicrm/civicrm/packages/OpenFlashChart/php-ofc-library/ofc_upload_image.php
/administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/ofc_upload_image.php
/administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/ofc_upload_image.php
/administrator/components/com_acymailing/inc/openflash/php-ofc-library/ofc_upload_image.php?name=mil.php
/images/stories/pbot.php
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20
/components/com_jnews/includes/openflashchart/php-ofc-library/ofc_upload_image.php?name=mil.php
/images/stories/mil.gif
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20
/index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&version=1576&cid=20
/components/com_hdflvplayer/hdflvplayer/download.php?f=..%2F..%2F..%2Fconfiguration.php
/?option=com_search
/index.php?option=com_search