Thema: 1.5.23 Seite durch Hacker mit Keywords hinterlegt

Guten Abend,

die Seite unseres Vereins basiert auf Joomla 1.5.23 und wurde anscheinend gehackt. Google hat uns eine Mail-"Notice of Suspected Hacking on ..." geschickt.

Im Google Webmaster Tool ist die einzige Auffälligkeit, dass die Keywords nicht dem Sinne der Seite widerspiegeln.. Es wird via*gra, cialis, prix.. aufgeführt.
Alle Keywords sind am "häufigsten" laut Google auf nur einer bestimmten Seite zufinden.

1. Ist es nun notwendig die Seite offline zu nehmen?
2. Könnten dennoch Skripte auf dem FTP liegen oder gar Spam-Mails etc über die Domain versendet werden?
3. Müssten die keywords nicht auch im Seitenquelltext gefunden werden oder crawlen die Bots genauer ?!

Ordnerrechte im FTP sollten eigentlich alle ok sein. LegacyMode ist aktiviert.
Installierte Komponenten sind:
AG Google Analytics 1.0.9 ---> gerade gesehen, dass Update verfügbar ist
ccBoard 1.1 RC ---> gerade gesehen, dass Update verfügbar ist
ExposePrive 4.6.2 ---> gerade gesehen, dass Update verfügbar ist
JoomLeague 0.93b ---> aktuell
Lxmenu 1.15 ---> aktuell
SefBook 1.8 ---> aktuell
uddeim 1.7 ---> Version 2.4 verfügbar
Xmap 1.2.1 ---> 2.0 beta verfügbar
yvComment 1.25.3 ---> aktuell

Okay wie gerade ersichtlich wird, sind ein paar Updates nötig. Könnten die Updates dann das Problem lösen.. also könnte in den Datein der Komponenten die Ursache für die unerwünschten Keywords liegen ? Bzw. wo können die keywords überhaupt festgesetzt werden. Sind es die meta keywords ?

Vor zwei drei Monaten wurde ShareThis integriert.. für facebook etc.. könnte darüber irgendwie der Hack gelaufen sein?

Über Hilfe und Antworten würden wir uns freuen

Die Suchfunktion hätte Dir unter "gehackt" ca 140 Beiträge gelistet, und in 9x% wird auf diese Liste verwiesen

Zitat von peitzer

Leider sind nicht jede Hackangriffe gleich...

Und genau aus diesem Grund gilt:
Bei allen Hackvarianten gibt es nur eine einzige Vorgehensweise, egal, wo, wie und was gehackt wurde: Flottes Liste Punkt für Punkt abarbeiten .

was gemacht wurde ist doch vollkommen egal, naja nicht ganz*

Es hat sich offensichtlich jemand Zugang verschafft. Das kann durch z.B. eine unsichere Erweiterung* passiert sein oder auch durch auslesen deiner Passwörter per Trojaner auf deinem Rechner.

*oder du hast eventuell Erweiterungen von warez. Seiten oder filehostern herunter geladen.

Nichts desto trotz bleibt die Liste, die es gilt Wort für Wort abzuarbeiten. Solange die Ursache nicht gefunden ist, wirst keine Ruhe haben.

Solltest du das selbst nicht können bleibt dir nur professionelle Hilfe hinzuzuziehen

Edit: hehe
Hallo anka

Zitat von peitzer

Code:

Kleiner Witzbold oder ?

Nein, ich mag nur keine Unterstellung und Versuche mich ins Lächerliche zu ziehen.
Ich habe über mehrere Stunden in Foren gesucht und mir verschiedenste Sachen durchgelesen. Dennoch blieben Fragen offen, daher habe ich sie gepostet.

Aber das was Du nun tun sollst, wurde in mehreren Beiträgen geschrieben, scheint Dich aber überhaupt nicht zu interessieren.

Zitat von peitzer

kompletter Eintrag:
38.111.147.84 - - [07/Jul/2011:10:42:10 +0200] "GET /w.ti:./duepdoncrzm/pcundrolet/dopage-******.html HTTP/1.0" 404 491 "-" "TurnitinBot/2.1 (http://www.turnitin.com/robot/crawlerinfo.html)"

Was sagt mir dieser Wert : 404 491 ? Irgendein zusammenhang mit der 404 Page?

Jep. 404 not found. Gedanken solltest Du Dir bei 200er Codes machen.

http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

http://www.drweb.de/magazin/http-error-codes/