Thema: Seite wurde gehackt... Habe es aber nicht gemerkt...

hallo,

ok, vorab, ich habe nicht allzuviel Ahnung von der ganzen Computer-Joomla-Hack-Geschichte und es dummerweise erst heute gemerkt, das wohl was im Argen ist, da mir mein Provider die Seite abgeschalten hat, heute.

Ich kann nun, nachdem ich mich eingelesen habe in diversen Beiträgen, behaupten das es wohl schon etwas länger her ist, das ich gehackt wurde. Ich hatte ca. 100 E-Mails "undelivered mail returned to sender" in meinem Postfach. (vielleicht 2 Monate her?!? ) Das ist wohl Punkt 1, andem ich es hätte merken müssen. (ich dachte halt, das ist normaler Spam, ohne weiteren Hintergrund, so naiv wie ich nunmal war)

Dann hatte irgendwann meine Gallerie-Funktion (ist eine Seite mit viel Fotos und Gallerien )mit Windows IE angefangen zu spacken, es wurde ein Skript-Fehler angezeigt. Mit Googles Browser, Firefox und Safari hatte es aber noch tadellos funktioniert.

Der nächste Schritt war, das die Seite immens langsam wurde, und ich, als ich im Forum auf neue Beiträge gewartet hatte, mir 3 Bier holen konnte.

Bis ich dann heute morgen erneut versucht habe, neue Fotos hochzuladen. Dann hat es teilweise ewig gedauert, bis dann irgendwann eine Fehlermeldung kam: "cannot connect to MySQL databank system" oder sowas. Nach einer etwas längeren Wartezeit ging dann die Seite wieder.

Auffällig war, das die Seite heute extreeeemst langsam war, ich schon die Vermutung hatte, das irgendwas im Sack ist. bis ich dann bemerkt hatte, das mir mein Provider die Seite abgeschalten hatte, da es wohl lt. dem Provider 11GB in den letzten Tagen traffic gab, den ich natürlich normal so nicht zusammenbrächte. Logo.

So, im Anschluß daran habe ich mich also die letzten 5 Stunden versucht einzulesen und erstmal die SuFu, Google, etc. benutzt. Hier bin ich nun auf Flottes Liste gestoßen, und habe sie 10mal durchgelesen.

Leider habe ich aufgrund meines gefährlichen Halbwissens die Hälfte nicht kapiert.

Der Provider hat ja nun die Seite abgeschalten. Ich ziehe momentan per FTP Programm den ganzen Inhalt runter, und lösche danach per FileZilla den ganzen Inhalt auf dem Server.

Ist das so richtig?

Kann ich z.B. noch auf die Logfiles zurückgreifen wenn ich den ganzen Inhalt runtergelöscht habe und die Seite nur noch "offline" habe?

Dann steht da was von Passwort-Schutz mit der htaccess-Datei. Hier ist ja auch auf joomla-security.de eine Vorgehensweise, die ich aber auch nicht kapiere.

Muss ich dann das, was ich mir von dort in der gezippten Datei runterlade, einfach in meine htaccess-Datei reinkopieren?

kann ich den quelltext der htaccess-Datei hier posten, oder ist da "vertrauenswürdiges" drauf, was nicht ins I-Net sollte? Vielleicht sehen die Experten hier sofort was da an meiner htaccess faul ist.

Danach die htaccess umbenennen und die Datei dann in die ganzen, dort angegebenen Verzeichnisse kopieren, ok, das bekomme ich hin.

Der Punkt 2 auf flottes Liste: "Einbruch untersuchen und Lücke finden" ist FÜR MICH auch einfacher gesagt als getan. Wie komme ich an die Logfiles ran? Mein FileZilla kann das ja wohl nicht, da muss ich mir wohl lt. Google ein neues Progi installieren? Oder bekomme ich die vom provider??

Das Problem ist ja auch, das ich nicht genau weiß, wann das war... Die Seite lief ja normal weiter... Also in welchem Zeitraum soll ich suchen?

Das sollte es jetzt erstmal gewesen sein, ich wäre euch extrem dankbar wenn mir jemand ien bisschen unter die Arme greifen könnte...

Vielen Dank für euer Verständnis, liebe Grüße, Wolfgang

PS: Ich habe mich wirklich redlich bemüht selbstständig eine Lösung zu finden, komme aber mit den Anleitungen echt nicht klar.

PPS: Und ja, ich denke ich habe auch verpennt mich richtig um die Joomla Updates zu kümmern, aktuell BEI MIR ist 1.5.21. Nur hat die automatische Update-Funktion nicht funktioniert. Wie bekomme ich das nun, offline, installiert?

DANKE!

Den Inhalt per FileZilla auf den heimischen Rechner kopieren, dann die Datenbank exportieren. -> Joomla-FAQ 2.4
Auf dem Server alles (Files + Datenbank) löschen. Eine .htaccess brauchst Du dann nicht mehr. Statt dessen eine index.hmtl mit folgendem Inhalt in den Webroot legen.

HTML-Code:

<html><body bgcolor="#FFFFFF"></body></html>

Die User für FTP und Datenbank im Kundenpanel des Hosters löschen. Wenn das nicht möglich ist, dann die Passwörter ändern.

Logfiles kannst Du per FTP runterladen, sofern vorhanden. Ansonsten Hoster fragen.

"Einbruch untersuchen und Lücke finden" setzt einiges an Wissen voraus. Wenn Du das nicht hast und auch nicht haben möchtest, dann kannst Du
a) einen Profi damit beauftragen oder
b) einfach ganz neu anfangen.

Wenn Du Dich selbst daran versuchen möchtest, plane ein paar Wochen/Monate Zeit ein.

Nur die Daten per Filezilla reichen nicht. Die Inhalte (Beiträge, Kategorien, Menüs, etc.) sind in der Datenbank gespeichert.
Diese sicherst Du per phpMyAdmin -> siehe Joomla FAQ 2.4

Nein, mit Datenbank meine ich nicht ein Forum, sondern wirklich eine Datenbank.

aha, ok. Danke vielmals!

So, die Logs habe ich gefunden, da steht folgendes drin:

(im FTP-Verzeichnis web/logs, richtig? ich habe noch auf dem Server ein "log"-Verzeichnis, welches aber leer ist.

Code:

#<?php die('Direct Access To Log Files Not Permitted'); ?>
#Version: 1.0
#Date: 2010-11-03 12:26:12
#Fields: date time (c-ip), comment
#Software: Joomla! 1.5.21 Stable [ senu takaa ama wepulai ] 08-October-2010 18:00 GMT
2010-11-03 12:26:12 (213.189.154.202), ---Linkr Plugin--- Article: www.AudiS2.de (3)
2010-11-03 12:26:12 (213.189.154.202), Found routing application: JoomlaSEF
2010-11-03 12:26:18 (213.189.154.202), ---Linkr Plugin--- Article: www.AudiS2.de (3)
2010-11-03 12:26:18 (213.189.154.202), Found routing application: JoomlaSEF
2010-11-03 12:26:25 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:26:25 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:26:27 (83.171.174.236), ---Linkr Plugin--- Article: www.AudiS2.de (3)
2010-11-03 12:26:27 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:26:31 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:26:31 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:26:32 (83.171.174.236), ---Linkr Plugin--- Article: www.AudiS2.de (3)
2010-11-03 12:26:32 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:27:54 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:27:54 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:27:56 (83.171.174.236), ---Linkr Plugin--- Article: www.AudiS2.de (3)
2010-11-03 12:27:56 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:30:47 (83.171.174.236), ---Linkr Plugin--- Article: www.AudiS2.de (3)
2010-11-03 12:30:47 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:30:50 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:30:50 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:30:52 (83.171.174.236), ---Linkr Plugin--- Article: www.AudiS2.de (3)
2010-11-03 12:30:52 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:39:26 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 12:39:26 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:40:20 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:40:20 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:40:22 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 12:40:22 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:40:33 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:40:33 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:42:04 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:42:04 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:42:05 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 12:42:05 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:42:24 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:42:24 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:45:23 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:45:23 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:45:29 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:45:29 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:45:33 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:45:33 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:45:35 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 08 (10)
2010-11-03 12:45:35 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:45:46 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:45:46 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:46:36 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:46:36 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:49:06 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:49:06 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:49:08 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 12:49:08 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:49:41 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:49:41 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:49:43 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:49:43 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:49:45 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 12:49:45 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:51:15 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 12:51:15 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:56:05 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:56:05 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:56:07 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 12:56:07 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:57:59 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 12:57:59 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 12:58:01 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 12:58:01 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 13:00:35 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 13:00:35 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 13:00:38 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 13:00:38 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 13:00:47 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 13:00:47 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 13:00:25 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 13:00:25 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 13:04:30 (83.171.174.236), ---Linkr Plugin--- Article: Treffen-Galerie (8)
2010-11-03 13:04:30 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 13:05:14 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 13:05:14 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 13:06:36 (83.171.174.236), ---Linkr Plugin--- Article: Grüsch 09 (9)
2010-11-03 13:06:36 (83.171.174.236), Found routing application: JoomlaSEF
2010-11-03 13:18:31 (207.46.13.40), ---Linkr Plugin--- Article: www.AudiS2.de (3)
2010-11-03 13:18:31 (207.46.13.40), Found routing application: JoomlaSEF

Seltsam ist halt die letzte Änderung mit IP in den vereinigten Staaten (wo ich noch nie war..), habe die IP bei utrace reingehackt. Updates wurden nachher natürlich noch jede Menge hochgeladen, es steht aber in dieser Linkr.php nicht mehr nachträgliches drin.

in dem logs verzeichnis, im Überverzeichnis "web" habe ich einmal index.html, mit dem von dir geposteten Inhalt und einmal die Datei linkr.php. Die Kopie oben kommt aus der linkr.php Datei.

grüße, wolfi

bei dnsstuff kommt "location" unknown raus..

Das ist nicht das Log, welches zur Analyse benötigt wird.
Ich denke aber, Du wärst damit ohnehin überfordert. Bitte nicht falsch verstehen, aber Deine Fragen hier bestätigen Deine einleitenden Worte im Post#1.
Ist ja auch keine Schande, aber das macht es nahezu unmöglich, Dir hier im Forum per Ferndiagnose bei der Lösung Deines Problems zu helfen.
Es gibt für Dich imho nur zwei Möglichkeiten.
a) Du beauftragst einen Fachmann mit der Rettung/Wiederherstellung Deiner Site oder
b) Du fängst einfach bei Null wieder an und kümmerst Dich ab jetzt mehr um die Sicherheit Deiner Site.

Zu den installierten Komponenten:

Joomla Version 1.5.21
uddeIM 2.1/stable
Kunena 1.6.1

und noch paar andere. soll ich die alle raussuchen, oder vermutest du, das hier der Hund begraben liegt...

Agora hatte ich mal installiert, dann aber wieder entfernt...

Webalizer ist drauf. habe nun ein Verzeichnis mit jeder Menge Daten. Das sind jede Menge Graphen mit Daten drin.

Nach was muss ich suchen?