Thema: Admin-Account gehackt

Hallo Joomlianer,

meine Joomla-Website wurde gehackt. An der Website selbst waren keine Veränderungen festzustellen. Ich konnte mich nur nicht mehr mit meinem Admin-Passwort anmelden. Da ich eine New-Biene bin, war ich noch nicht mit den ganzen zusätzlich erforderlichen Sicherungsmaßnahmen vertraut (z.B. Admin-Benutzernamen ändern, Passwortschutz mit .htaccess setzen etc.). Da ich die neuste Version (1.5.20) verwendet habe, bin ich aber auch - dummerweise - davon ausgegangen, dass die SAVE ist...
Ich habe mir auch schon die Tipps hier im Forum durchgelesen, was zu tun ist, wenn eine Site gehackt wurde, habe aber trotzdem noch Fragen und hoffe, dass mir die jemand beantworten kann.
Aus Angst, dass der Hacker irgendwelche illegalen Sachen mit der Site macht, habe ich erst mal alle Dateien vom Webserver gelöscht (nachdem ich mir zuvor alle Daten heruntergeladen habe).
Da ich von der Materie nichts verstehe, kann ich leider aus den Logfiles nicht herauslesen, wo die Sicherheitlücke bei mir war. Zumidnest konnte ich dort nichts finden, was auf einen Reset meines Admin-Passwortes hindeutet.
Meinen Rechner habe ich auf Trojaner etc. gecheckt und nix gefunden. Außer des Admin-Account gab es in meiner Joomla-Installation keinen weiteren User (ich war quasi noch dabei, die Website aufzubauen).
Da der Webspace noch "jungfräulich" war, kann die Sicherheitlücke auch nicht durch eine ältere Joomla-Installation oder ähnliches entstanden sein.
Soviel erst mal zu den Umständen. Ich hoffe, dass es für Euch nachvollziehbar ist, dass es mir echt ein Rätsel ist, wie mein Admin-Account geknackt werden konnte (da ich auch ein sehr komplexes Passwort hatte).

Hier nun meine Fragen an Euch:

- wenn jemand meinen Admin-Account geknackt hat, konnte die Person dann auch meine FTP-Zugangsdaten einsehen (denn wenn ich mich recht erinnere, musste man die bei der Joomla-Installation angeben - also FTP-Benutzername und -passwort)?
- wie sieht es mit den Datenbank-Zugangsdaten aus? Hat der Hacker dann auch meine Zugangsdaten zur Datenbank (also Datenbankname und Passwort)?
- Oder stehen die FTP- und Datenbankzugangsdaten nur verschlüsslt irgendwo im Joomla-System, so dass man die nicht einsehen kann, wenn man den Admin-Account geknackt hat?

Ich frage deshalb, weil ich keinen Zugriff auf das Webhosting-Paket habe und daher die FTP-Zugangsdaten als auch die Datenbank-Zugangsdaten nicht ändern kann. Wenn mir nun jemand bestätigen könnte, dass der Hacker, selbst wenn er meinen Admin-Account geknackt hat, keinen Zugriff auf meine FTP- und Datenbank-Zugangsdaten hat, dann würde ich einfach Joomla komplett neu auf dem Webserver installieren, den alten Datenbankinhalt mit der neuen Installation überschreiben und hätte dann wieder ein sauberes System. Versteht ihr, wie ich das meine?
Natürlich würde ich dies mal dann alle weiteren Sicherheitsmaßnahmen, wie oben kurz angeschnitten, ergreifen, damit mir sowas nicht noch mal passiert!

Ich würde mich sehr über Eure fachkundigen Ratschläge freuen! Schon mal vielen Dank dafür im Voraus!!!

Liebe Grüße, Ronja

Hey Ihr Zwei,

tausend Dank für Eure schnelle Antwort und Hilfe. Dann werde ich morgen mal bei dem Webhoster anrufen müssen, dass mir die FTP- und Datenbank-Zugangsdaten geändert werden.

@ keraM: Nein, ich hatte keine Erweiterung installiert, sondern nur das, was in der Standard-Installation enthalten ist.

@ Orpheus2510: In dem Logfile konnte ich keinen Zugriff auf eine "uri.php" feststellen. Oder steht das da nicht so drin? ...also dass das zwar die Lücke ist, aber in einer anderen Art und weise im Logfile erfasst ist?!?

Was ich nicht verstehe und was mir echt Angst macht, ist, wie man überhaupt von den Hackern gefunden wird!? Meine Website war ein winzig kleiner Webauftritt, der noch nicht mal fertiggestellt war und keine Inhalte hatte. Selbst die suchmaschinenfreundlichen URLs hatte ich noch nicht mal, so dass ich auch noch bei keiner Suchmaschine indexiert war. Wie haben die mich nur gefunden?

@BennoG: Das ist ein Managed Hoster, wo man für jeden Quatsch anrufen bzw. mailen muss. Glücklich bin ich nicht darüber, aber das ist halt ein Bekannter von mir, den ich halt unterstützen wollte, in dem ich das Webhosting-Paket bei ihm gemacht habe. Zudem habe ich mir damit einen kurzen Draht im Falle eines Supports erhofft.

@keraM: Wäre es dann nicht sicherer, wenn die Komponenten in codierter Form in der URL angesprochen werden, also statt "com_kunena" z.B. "c124_k523", so dass in der URL keine Rückschlüsse auf die Komponente bzw. das CMS selbst gezogen werden können?
Was die Idexierung angeht, wundert es mich trotzdem, weil ich noch keine Textinhalte auf dem Webauftritt hatte und die Website bei Google auch nicht gefunden habe, wenn ich die z.B. nach der Domain gesucht habe.

Zitat von blaulichttreff

bist du sicher, dass du gehackt wurdest?

Nein, ich bin mir ehrlich gesagt nicht sicher, weil wenn ich mir das Logfile anschaue, dann ist das ungefähr so, als wenn ein Schwein ins Uhrwerk schaut (ich verstehe halt nicht, was die Einträge da bedeuten).

Zitat von blaulichttreff

was passierte denn, als du dich anmelden woltest? fehlermeldung oder einfach wieder nur das login-feld? kann sein, dass es nur ein admin-loop war.

Bei der Anmeldung kam immer diese rote Meldung, dass das Passwort falsch ist!

Ein Admin-Loop?!?!? Ist das ein Bug, der mal auftreten kann?

Also falls sich jetzt herausstellen sollte, dass ich gar nicht gehackt wurde, dann werd ich gleich erst mal nach nebenan in die Besenkammer gehen und ne Runde heulen, weil dann der Ganze Stress umsonst war und ich alles noch mal von vorne machen kann (weil ich natürlich noch keine Backups hatte, weil die Seite ja noch im Aufbau war).