Thema: Version 1.0.14 gehackt, was kann ich tun?

Habe eben meine Seite www.la-garda.de besucht, da ich ein User darauf aufmerksam gemacht hat, dass sie gehackt sei. Dort fand ich folgenden Text:

Hacked By holocaust
Warning: require_once() [function.require-once]: open_basedir restriction in effect. File(/includes/version.php) is not within the allowed path(s): (/is/htdocs/user_tmp/Hackerwerbungen entfernt

Woran kann das liegen, habe gerade vor zwei Tagen auf die aktuellste Version upgedated.

Sehe gerade, dass die Domain http://www.media-management-manufactur.de/, wo ich ebenfalls auf 1.14 upgedatet habe, ebenfalls gehackt ist.

Dort steht:

<html>
<body bgcolor="#000000">
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<title>Hacked By *********</title>

<p align="center"><font color="white" face="Tahoma" size="5"><b>Hacked By **************</b></font></p>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
<p align="center"><font face="Arial" color="#ffffff" size="-2"><b
style="BACKGROUND-COLOR: #000000">Copyright © 2007 ***********</font></p>
<html><br />

<b>Warning</b>: require_once() [<a href='function.require-once'>function.require-once</a>]: open_basedir restriction in effect. File(/includes/version.php) is not within the allowed path(s): (/is/htdocs/user_tmp/wp1018722_QSCOCH4434:/tmp:/bin:/usr:/is/default.errors:/is/htdocs/wp1018722_QSCOCH4434) in <b>/is/htdocs/wp1018722_QSCOCH4434/www/mediamanagement/includes/joomla.php</b> on line <b>71</b><br />
<br />
<b>Warning</b>: require_once(/includes/version.php) [<a href='function.require-once'>function.require-once</a>]: failed to open stream: Operation not permitted in <b>/is/htdocs/wp1018722_QSCOCH4434/www/mediamanagement/includes/joomla.php</b> on line <b>71</b><br />

<br />
<b>Fatal error</b>: require_once() [<a href='function.require'>function.require</a>]: Failed opening required '/includes/version.php' (include_path='.:/usr/share/pear/php5') in <b>/is/htdocs/wp1018722_QSCOCH4434/www/mediamanagement/includes/joomla.php</b> on line <b>71</b><br />

Warum bittet ihr nicht erstmal eure Provider alles zu sperren, euch die Logfiles zu geben oder sie sollen sie analysieren oder ihr spielt mal ein sauberes Backup ein? Wäre mal ein Anfang.

Würde ich mir sofort nen anderen Provider suchen, ist meiner Meinung nach mehr als lächerlich die Aussage.

Zitat von heidiland

Habe ich natürlich als erstes gemacht und da sagte man mir, man könne nix machen, ich soll ins Forum gehen, Joomla wäre halt nix, Mambo wäre noch nie gehackt worden.

Herrjee, wie weit kann man sich noch disqualifizieren

Das Einspielen des Backup wird Dir nicht lange helfen. Deine Seite ist nun bekannt und die Hacker werden wiederkommen und genau dasselbe immer wieder versuchen.
Wenn das Backup online ist, sichere die Seite zunächst via Passwort (.htaccess).
Dann lass Dir die Logs geben und suche die Lücke!!!!

Was eine Selbstverständlichkeit sein sollte:
Ändere ALLE Passwörter! Auch die anderer Super-Administratoren, sofern vorhanden. Ebenso FTP-ZUgang usw. Verwende "richtige" Passwörter. Gerade letzeres kann man nicht häufig genug erwähnen.

Zitat von heidiland

Auf jeden Fall habe ich gerade gesehen, dass die Hacker einen FTP Zugang angelegt haben, den ich eben gelöscht habe. Habe natürlich das FTP PW geändert.

Bist Du SICHER ?? Das wäre böse...

Dann haben die Hacker sehr vermutlich Zugang zu Deinem Control-Tool auf dem Server gehabt.
Unbegingt(!) dem Hoster mitteilen und unbedingt (wenn möglich) den Zugang zum Control-Tool verändern!!!