Thema: SQL Injection - Umleitung über Google auf Schadseite

Hallo zusammen,

ich bin Administrator einer kleinen Vereinsseite.

Dort ist nun das Problem aufgetreten, dass anscheinend Schadcode direkt in den Quellcode der Seite plaziert wurde. Denn immer wenn ein Besucher über Google die Vereinsseite besuchen möchte, wird er auf eine dubiose Seite weitergeleitet mit der Endung . pl. Ruft man die Homepage direkt über die Browsereingabezeile auf funktioniert alles ordnungsgemäß.

Ich hab mich daraufhin auf der Suche nach dem bösen Code gemacht und bin auch prompt in der index.php des verwendeten Templates fündig geworden. Dort steht massenweise verschlüsselter Base64 Code drin. Das ganze sieht so aus.

HTML-Code:

<?php	 	eval(base64_decode("..."));
defined( '_JEXEC' ) or die( 'Restricted access' );
JPlugin::loadLanguage( 'tpl_SG1' );
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="<?php	 	eval(base64_decode("...")); echo $this->language; ?>" lang="<?php	 	eval(base64_decode("...")); echo $this->language; ?>" >
<head>
<jdoc:include type="head" />

Entschlüsselt sieht einer der Blöcke so aus:

HTML-Code:

....

Da wird deutlich, dass es sich um den besagten Schadcode handelt.

Mein jetziges Problem besteht allerdings da drin, dass die böse Umleitung nach wie vor aktiv ist, auch wenn ich den gesamten Schadcode aus der Index.php lösche. Daher vermute ich, dass noch an einer anderen Stelle ähnlicher Code vorzufinden ist.

Kennt jemand vielleicht diese Art von Injection und kann mir weiter helfen?

Servus,

da folgst du am besten der wunderbaren Liste von Flotte:
https://www.fc-hosting.de/joomla/tip...la-gehackt.php

Schritt für Schritt und ohne etwas auszulassen!

Liebe Grüße
Snipy

Falls keine eigene Sicherung besteht, einfach mal den Hoster nach einem Backup anfragen. Meistens speichern die bis zu 14 rückwärts.

Falls der Angriff schön länger her ist, wirste die Seite wohl neu aufbauen müssen.

MfG, C.A.M

Zitat von Voeltschi

Der Schadcode ist auch in diversen anderen Dateien vorhanden, ich selbst hatte versucht, eine SQL Sicherung vor dem Datum der geänderten Dateien einzuspielen, das bringt bei mir leider nicht viel, die Startseite läuft nicht richtig. Das beste ist in diesem Fall das Einspielen einer kompletten Sicherung, wer sie denn hat.

Wenn eine saubere SQL-Sicherung vorhanden ist, kannst du Joomla neu installierenm dazu alle vorher vorhandenen Erweiterungen und dann die Sicherung wieder einspielen.

Deshalb ja auch alle FTP Daten löschen und nen sauberes Backup verwenden !

Dann muss natürlich noch die undichte stelle im System gefunden und behoben werden, also Logfiles studieren.

Zitat von C.A.M

Dann muss natürlich noch die undichte stelle im System gefunden und behoben werden, also Logfiles studieren.

... und eigenen PC nicht vergessen!

Zitat von BennoG

... und eigenen PC nicht vergessen!

Vergesse ich leider immer wieder.

Ich nutze kein Microschrott, weshalb ich mir diesbezüglich zum Glück nicht allzu viele Gedanken machen muss.

MfG, C.A.M