Thema: Site gehackt

Hallo HILFE! Unsere Seite wurde gehackt.
wie kann ich die wieder herstellen, hatte noch nie das Problem!
adminlogin funzt auch nicht mehr.


Gruß Günter

Hallo,
ich stell mal meine aktuelle Erkenntnisse zusammen:

1. Mein letzter Login war am Samstag 16:50 laut phpmyadmin auf der Datenbank
2. genau zu diesem Zeitpunkt ist ein POST auf /administrator/index in der logfile
3. dann viele GET
4. dann wieder um 18:50:27 ein POST auf administrator/index.php?option=com_installer"
5. dann wieder 4 GET
6. dann ein POST mit einer Datei ins TMP-Verszeichnis mit dem Namen tmp/r57.php"
7. dann wieder ein POST auf die admin-index
8. dann wieder viele GET
9. und dann im 18:52:37 und 18:52:43 und 18:52:50 POST auf r57.php

Zu diesen Zeiten war ich definitiv nicht online.
Mein PC hier ist sauber..

Nun würde ich gerne den Punkt 3) Daten löschen, saubere Sicherung laden, Passwörter ändern durchführen. Ich hab zwar ne Sicherung mittels Joompack aber ist da die Datenbank auch mit drin?

Gruß Günter

Hab ich noch vergessen:
Das Ändern meines Passwortes im direkten Zugriff auf die Datenbank, lässt mich immer noch nicht rein. Meldung Benutzername und/oder Passwort falsch!

hallo lacki,
gerne kannst du meinen Thread raus nehmen bzw auslagern...

Wie gesagt mein PC ist sauber, die Lücke ist so nicht erkennbar ausser diese POST auf r57.php
Hab mal die Sicherung von joompack angesehen, kann da aber keine datenbank sehen.

Möglich sind eine Rechte der Dateien und Ordner, die nicht ideal sind

Ja hallo! Gerade sehe ich noch eine Email in der die Anfrage gestellt wurde, das Passwort des Benutzerkontos zurückzusetzen. Darin ist ein Überprüfungscode übermittelt worden, um diese Anfrage zu legitimieren. Emailuhrzeit: 18:47:41
Jetzt habe ich nochmals das logfile durchgesehen und tatsächlich zu diesem Zeitpunkt einen POST auf die componente user gefunden.
Wurde meine Passwort zurückgesetzt und wer hat diese Email auch erhalten?
Wie kann man eine Rücksetzung des Passwort bei Joomla anfordern? Hab davon noch nicht gehört!
Zeitstempel vergleichen der Dateien ist schlehct möglich: Die index hat den gleichen Zeitstempel wie vor dem Hack.

Nochmal: Auf dem IE kommt die alten Homepageversion , auf dem Firefox die seite der hacker, wo ist hier das Problem?

Günter

Hallo Lacki,
hier nun die gewünschten Info:
Joomla! 1.5.15 Stable
Erweiterungen: acymailing, attechments,impressum, jce, ccnewsletter, communicator, projectforce, phocagallery,

Hier die Logeinträge mit den POST: *** sind entfernte Links
62.248.26.151 - - [02/Oct/2010:18:47:41 +0200] "POST /***/component/user/?task=requestreset HTTP/1.1" 301 5 *** "***/index.php?option=com_user&view=reset" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"

62.248.26.151 - - [02/Oct/2010:18:48:18 +0200] "POST /***/component/user/?task=confirmreset HTTP/1.1" 301 5 *** "***index.php?option=com_user&view=reset&layout=co nfirm" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"

62.248.26.151 - - [02/Oct/2010:18:48:37 +0200] "POST /***/component/user/?task=completereset HTTP/1.1" 301 5 *** "***/index.php?option=com_user&view=reset&layout=comple te" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"

62.248.26.151 - - [02/Oct/2010:18:50:03 +0200] "POST /***/index.php HTTP/1.1" 301 5 *** "***" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"

62.248.26.151 - - [02/Oct/2010:18:50:27 +0200] "POST /administrator/index.php HTTP/1.1" 200 20624 *** "***/index.php?option=com_installer" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"

62.248.26.151 - - [02/Oct/2010:18:51:02 +0200] "POST /tmp/r57.php HTTP/1.1" 200 77807 *** "***/tmp/r57.php" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"
62.248.26.151 - - [02/Oct/2010:18:51:28 +0200] "POST /***/index.php HTTP/1.1" 200 20624 *** "***/index.php" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"

62.248.26.151 - - [02/Oct/2010:18:52:37 +0200] "POST /tmp/r57.php HTTP/1.1" 200 65115 *** "*** /tmp/r57.php" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"
62.248.26.151 - - [02/Oct/2010:18:52:43 +0200] "POST /tmp/r57.php HTTP/1.1" 200 11625 *** "*** /tmp/r57.php" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"
207.46.13.47 - - [02/Oct/2010:18:52:50 +0200] "GET /robots.txt HTTP/1.1" 200 304 *** "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "-"
62.248.26.151 - - [02/Oct/2010:18:52:50 +0200] "POST /tmp/r57.php HTTP/1.1" 200 65476 *** "*** /tmp/r57.php" "Mozilla/5.0 (X11; U; Linux i686; tr-TR; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8" "-"



Was ich mit der Anzeige im IE und Firefox meinte ist, dass wenn ich die älterer version (nennen wir sie 1.0) (html) auf die webadresse verlinke wird die auch im ie angezeigt. Nur der Firefox zeigt immer noch die Seite der Hacker.

Was mir gerade aufgefallen ist, das die htaccess als textfile vorhanden ist. Ist das das richtige Dateiformat?

Gruß Günter