Thema: Gehackt und Abgedichtet.

Letzten Freitag od. Samstag wurde die Webseite eines Bekannten gehackt. Die Eindringlinge verschaften sich Zugang und installierten den Trojaner/Virus PHP/C99shell.B

Hier die technischen Daten der Seite:
Joomla 1.5.6 ( Schande über mich dass ich keine Updates durchgeführt habe
Login für einen User und mich als Admin, weitere User sind nicht registriert.
Auf der Seite werden Live-Music Events publiziert.
PHP5
MySql 5

Aus den Protokollen geht ungefähr hervor wie sich die Hacker zutritt verschafften.
Höchstwahrscheinlich (eigentlich ziemlich sicher), hatten sie zu dem Zeitpunkt bereits die Mailbox des Bekannten im Zugriff und waren über den Inhalt der Mails informiert.
Dann wurde ein Passwort-Reset durchgeführt.
http://www.xxxxxxxxxxxxx.de/index.ph...ayout=complete

Ich hatte mich vorher schon mal als Admin versucht anzumelden - ohne Erfolg. Passwort stimmte plötzlich nicht mehr. Passwort-Reset über Webseite mache ich nicht, sondern hab mir aus einer lokalen Kopie der Datanbank das Passwort kopiert und über PHPMySql beim Provider in die Tabellenspalte jos_users reinkopiert. Tags darauf hab ich mich wieder eingeloggt und wieder war das Passwort nicht gültig. Diesmal mit Fehler 500. Im Frontend wurde ein imageshack Bild "Brasilian Defenders" anstelle der Startseite angezeigt.

Per FTP die Seite untersucht und im Root stand eine index.html und im Verzeichnis administrator stand die Datei index1.php und index4.php mit unterschiedlichem Datum. Beim Versuch eines Downloads dieser PHP-Seiten warnte mich der Virenscanner vor dem Virus C99shell.B

Seite komplett gelöscht - Datenbank platt gemacht.

Da ich regelmäßig Datensicherung durchführe war ich auch im Besitz einer sauberen Datenbank. Sicherung der lokalen Webseite gescannt auf 1.5.15 aktualisiert neu hochgeladen und neue Datenbank angelegt.

User-Login auf dem Webspace deaktiviert. Wer sich einloggen will muss über die Seite Admin-Login. Hier eine .htaccess angelegt mit zusätzlichen Login.

Ferner hab ich den Complete-Reset auf dem Webspace deaktiviert. Da es sich um eine kleine Zahl an Benutzern handelt ist das ohne Probleme möglich, bei umfangreichen Benutzergruppen ist das wohl nicht so einfach.

Das Forum hier hat mir sehr weitergeholfen, wie ich mit gehackten Webspace umgehe. Beiträge von verschiedenen Joomla-Experten waren für mich ein sehr grosse Hilfe.

Was mich noch interessieren würde: welche Möglichkeiten habe ich "verdächtige" IPs auszugrenzen ? Ich möchte auch keine Suchrobots von China, Russland oder sonstigen "suspekten" Ländern zulassen. Bin mal gespannt ob weitere Versuche von Hackern unternommen werden...

Grüsse allerseits
sire pushingham