+ Antworten
Ergebnis 1 bis 4 von 4

Thema: Fremd-Link-Injizierung in eine Joomla 2.5.18/19 Installation

  1. #1
    War schon öfter hier Avatar von Bluemarlin
    Registriert seit
    25.11.2005
    Ort
    Hamburg-Bergedorf
    Beiträge
    179
    Bedankte sich
    34
    Erhielt 11 Danksagungen
    in 8 Beiträgen

    Ausrufezeichen Fremd-Link-Injizierung in eine Joomla 2.5.18/19 Installation

    Hallo Forum,

    ich habe ein Problem mit unserer Verbandsseite. Von einem Besucher unserer Seite wurde ich darauf aufmerksam gemacht, dass sich auf der Seite versteckte, "unfeine" Links befinden. Diese Links sind nur zu sehen, wenn man im Browser das Java-Script abschaltet (siehe anhängende Screenshots).

    Ich habe mir daraufhin den Quelltext unserer Seite angesehen und die Links darin auch gefunden (siehe anhängende Screenshots). Nur habe ich keine Idee, wie sie dort hingelangen. Inzwischen habe ich mir alle 161 Javascripts auf der Seite angesehen, konnte aber nichts entdecken (nun bin ich aber auch nicht der Java-Script-Crack).

    Darüber hinaus, könnte ja auch ein php-Script oder eine ini-Datei dafür verantwortlich sein und die alle zu durchsuchen ist ein Ding der Unmöglichkeit.
    Ich habe mich auch schon per Mail und per Tel. an eine Firma gewand, die Malware auf Websites aufspürt und entfernt, aber obwohl man mir versprochen hat, mir ein Angebot dafür zuzuschicken, habe ich seit 4 Tagen nichts mehr von denen gehört. Inzwischen ist unsere Seite aber bereits bei AVG auf der Blacklist gelandet.

    Ich habe auch schon mehrere Scan von einschlägigen Malware Scannern durchfürhen lassen, die der Seite alle einen guten Zustand und Malware-Freiheit bescheinigt haben. Von daher scheint es also kein Virus oder Trojaner zu sein, sondern nur darum zu gehen, die Pageranks der betreffenden Seiten zu erhöhen.

    Trozdem möchte ich den Mist natürlich entfernt haben und unsere Seite wieder von der Blacklist bekommen, bevor noch Einträge auf anderen Blacklists dazukommen.

    Daher meine Frage, ob jemand eine Möglichkeit oder Software kennt, solche Injizierungen aufzuspüren. Auffällig ist auch, dass sich ein Script direkt im Quelltext befindet (siehe anhängende Screenshots)

    Vielen Dank für Eure Antworten.
    Angehängte Grafiken
    Geändert von Bluemarlin (10.03.2014 um 07:15 Uhr)

  2. #2
    Moderator Avatar von flotte
    Registriert seit
    20.03.2005
    Ort
    Neustadt
    Beiträge
    6.442
    Bedankte sich
    122
    Erhielt 1.896 Danksagungen
    in 1.486 Beiträgen

    Standard

    Du gehst falsch an die Sache ran. Die Auswirkungen des Hacks kann man natürlich beseitigen, aber wichtiger ist erst einmal die Seiten vom Netz zu nehmen und die Ursache des Hacks zu finden. Sonst wird das Problem nie enden. Also Seite abschalten (nicht nur offline schalten, sondern komplett vom Netz nehmen, FTP-Zugänge löschen) und Logs anfordern - auch ganz wichtig die FTP-Logs! Dann untersuchen. Details siehe auch hier bzw. in den gefühlt tausend anderen Threads über gehackte Joomla...

  3. #3
    War schon öfter hier Avatar von Bluemarlin
    Registriert seit
    25.11.2005
    Ort
    Hamburg-Bergedorf
    Beiträge
    179
    Bedankte sich
    34
    Erhielt 11 Danksagungen
    in 8 Beiträgen

    Standard

    Moin flotte,

    zunächst einmal Danke für Deine Antwort.

    Da ich nicht denke, dass die Links über eine Joomla-Lücke eingespielt wurden (denn sonst müssten sie auch auf anderen Seiten auftauchen) kann ich mir nur vorstellen, dass es über ein AddOn (Modul, Plugin, Komponente) passiert ist. Inzwischen habe ich beide Rechner von denen auf den FTP-Bereich zugegriffen wird getestet. Auf keinem konnten Trojaner oder sonst irgendwelche Schaddateien festgestellt werden. Auch auf dem anderen knaqppen Dutzend Webseiten, die ich pflege ist kein Hack aufgetreten. Somit gehe ich mal davon aus, dass der Hack nicht über das Auslesen von FTP-Passwörtern eingespielt worden ist.

    Darum habe ich mich entschlossen, die Seite unter Joomal 3.2.3 ganz neu aufzubauen. Das ist zwar wegen dem Übertragen des sehr umfangreichen und in der Zeit weit zurückreichenden Contents eine Menge Arbeit, aber die steht über kurz oder lang beim Update auf 3.X ja eh an.
    Da ich bereits zwei kleinere Webseiten unter der 3er Version gebaut habe, die einwandfrei laufen, denke ich macht die Neuinstallation und die Übertragung des Contents bei dieser Gelegenheit mehr Sinn als tagelang nach einer Lücke im alten System zu suchen.

    Nochmals vielen Dank für Deine Antwort

    Manfred

  4. #4
    War schon öfter hier Avatar von Bluemarlin
    Registriert seit
    25.11.2005
    Ort
    Hamburg-Bergedorf
    Beiträge
    179
    Bedankte sich
    34
    Erhielt 11 Danksagungen
    in 8 Beiträgen

    Standard

    Update:

    So ganz aufgeben wollte ich nun doch noch nicht, weil es mirch einfach fuchste, dass ich nicht dahinter kam!

    Da ich ja nun wusste, dass die unerwünschten Links NICHT über den FTP-Bereich kamen, konnte es nur noch an einem Modul oder Plugin liegen. Also bin ich im Admin-Bereich nochmal alle Module und Plugins durchgegangen.

    Dabei viel mir ein Plugin auf, bei dem weder eine Version, noch ein Autor oder eine Verzeichniszugehörigkeit angegeben wurden. Dieses Plugin nannte sich "xcalendar". Ich habe das Plugin daraufhin deinstalliert, weil es auf keiner Seite zum Einsatz kam.

    Resultat, die Fremdlinks sind verschwunden.

    Das Plugin ist im Netz weit verbreitet (von iTunes) und soll Kalenderdaten von/in Exceldateien importieren/exportieren. Allerdings hat das nicht wirklich gut funktioniert. Später hatte ich dann vergessen es wieder zu deinstallieren. Das habe ich nun aber schnellsten nachgeholt.

    Also VORSICHT mit diesem Plugin.

    Nun müsste ich nur noch wissen, wie ich den Blacklist-Eintrag bei AVG und Opera wieder weg bekomme.
    Geändert von Bluemarlin (10.03.2014 um 07:09 Uhr)

+ Antworten

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein