Thema: Site gehackt | Hilfe bei .htaccess

Liebe joomla-Gemeinde,

vor einigen Tagen wurde unsere Schulhomepage gehackt. Via FTP wurde in ca. 400 html/php-Dateien Schadcode eingefügt, der über einen iFrame-Angriff bei Nutzern des IE einen Trojaner installieren wollte. Auf welchem Weg der Angreifer ans FTP-Kennwort gekommen ist, kann ich nicht ganz nachvollziehen, ich vermute aber einen Trojaner auf meinem Rechner oder einen Brute-Force-Angriff, weil das Kennwort nicht sehr komplex war. Ich habe die Seite unmittelbar nach dem Angriff vom Netz genommen, von einem sauberen Rechner aus alle Nutzernamen und Passwörter geändert, das joomla-eigene FTP-Layer deaktiviert, ein Update von .23 auf .24 durchgeführt und ein sauberes Backup wieder eingespielt.

Nun würde ich gerne über .htaccess das /administrator noch schützen, bekomme es aber nicht hin.

Ich hätte nun drei Anliegen/Fragen:

a) Wer könnte mir Tipps geben, wie ich den Passwortschutz realisieren kann?
b) Was sollte ich (außer Formatieren und Neuinstallation auf meinen eigenen Rechnern) noch machen, um zu verhindern, dass der Angreifer wiederkommt?
c) Ich habe auch Interesse am Kontakt zu Firmen, die sich mit der joomla-Sicherheit sehr gut auskennen und die ich beauftragen könnte, falls sich der Angriff wiederholt.

Vielen Dank im Voraus!
Lehrer Lämpel

Danke für die schnellen Tipps. Auch wenn man es nicht glauben mag, aber die FAQ und flottes Liste hatte ich mir schon vorgenommen und bin - soweit es meine Kenntnisse erlauben - auch danach vorgegangen.

Der Tipp mit der Passwort-Verwaltung ist sehr hilfreich, vielen Dank dafür.

xssen.php hatte ich auch schon gefunden, war aber nach der Erfahrung der letzten Tage zu paranoid, um ein Skript aus einer mir nicht bekannten Quelle mit 777 auf den Webspace zu packen und wollte es daher lieber manuell lösen. Wenn du aber sagst, dass die Geschichte vertrauenswürdig ist, werde ich das gerne so versuchen.

Zitat von keraM

Bietet Dein Hoster in seinem Kundenpanel keine Möglichkeit, einen .htaccess-Passwortschutz auf ein Verzeichnis zu legen?

Danke für den Hinweis, habe gerade herausgefunden, dass er das tut.

Wie sicher bist Du Dir bei der Usache des Hacks? Kann es nicht doch eine unsichere Erweiterung oder ein vergessenes Script gewesen sein? Hat der Webspace das wwwrun-Problem und wird mit 777-Rechten gearbeitet? Kann es möglicherweise sein, daß der Angriff über das "Nachbarweb" erfolgte?

Die FTP-Logs des betreffenden Zeitraums zeigen, dass der Angreifer sich mit einer rumänischen IP über unverschlüsseltes FTP mit meinem FTP-Kennwort eingeloggt hat und anschließend ca. 400 Dateien immer erst gelesen und unmittelbar drauf verändert wieder hochgeladen hat. Woher er das Passwort kannte, ist unklar; es erhärtet sich allerdings die Trojaner-Vermutung, weil ich einen solchen auf einem unserer Rechner zu Hause gefunden habe. Ich habe zwar von dort aus nicht per FTP auf die Seite zugegriffen, das FTP Passwort war allerdings identisch mit dem joomla admin Kennwort. Natürlich äußerst fahrlässig, das weiß ich jetzt auch. Rechte sind 644 für Dateien und 755 für Ordner, wwwrun-Problem existiert m.W. nicht, die Seite liegt bei allinkl.

"Nachbarweb" sagt mir nichts?