Thema: admin index php viell gehackt?

Hallo Leute,

Nach jetzt mitlerweile 2 stunden lesen hier im Forum komme ich irgendwie nicht auf einen Lösungsansatz.

Folgendes Problem ist aufgetreten auf meiner Seite.
Wenn ich mich im Backend anmelden möchte erscheint kurz der Login und nach ca 1s werde ich weiter geleitet auf eine .cn Seite wo steht "Sorry Youre IP is Banned.
Das kuriose ist, nach nem Router Neustart (bekomme ja da ne neue IP) kann ich mich dort wieder einloggen. Logge ich mich wieder aus, besteht oben genanntes Problem wieder. Im Frontend funtioniert aber alles (noch). Hoffe des bleibt auch so.

Nun habe ich gelesen, dass ich die Logdateien des Servers auf Ungreimtheiten durchsuchen soll. Ja aber was sind den ungreimtheiten in diesem Fall und welche Logdatein kommen dafür in Frage? Ich bin Ehrlich und sage das ich zu diesem Hacker-Zeugs keinen Draht und auch keine Ahnung von irgendwelchen Vorgehensweisen habe.

Also wie geht ihr vor? Gibts Tools oder kleine Scripts um viell Ordner und Dateien zu vergleichen, ´nach Größen oder letzten Zugriffen? Oder hat viell jemand das gleiche Problem und schon gelöst?

Nun noch eine andere Frage zu diesem Thema. Das Problem besteht seit sich ein Neuer User angemeldet hat (habe leider nur 10 ). Dieser User hat, es sei denn er wäre ein Fan, gar keinen Grund sich anzumelden. D.H. Downloads etc kann jeder runterladen. Ein Forum gibt es, aber mann muss sich für das Thema schon interessieren um sich zu registrieren. Dann gibts noch ein kleines GB (was ich Kommentare nenne) wo man sich auch einloggen muss um zu schreiben. So nun macht sich dieser User aber verdächtig, da er keine dieser Sachen genutzt hat, also warum hat er sich dann registriert? Die E-Mail Adresse sieht aber ganz normal aus. Ist nicht verdächtig oder so.
Was soll ich da nun tun? Ihn mal anschreiben und fragen aus welchem Grund er sich registriert hat, um herraus zu finden obs nen Fake is? Oder soll ich ihn gleich Sperren?
Bin mir da nicht sicher.

Ok ganz schön viel Text zu meiner Frage. Sorry aber ich bin am verzweifeln.
Ich nutze Joomla 1.013 german
Componenten sind nur:
Joomla Forum
Easy GB
docman

mehr is es eigentlich nicht.

könnt ihr mir weiterhelfen? Aso ja. Und ich Boon habe kein Backup von der Seite. Ja schlagt mich. Ist auch mein größter Fehler.

gruß Ghost

Ja, da hängt sicher in einer der index.php vom backend ein iframe drin.
Unterschlagen hast Du uns DFContact, die ShoutBox und das Statistikmodul. Evtl hast Du ja auch noch weitere Erweiterungen installiert und deaktiviert.

Alle Dateien erst mal sichern!
Dann einmal die originalen Full-Sourcen überkopieren, an besten gleich für V1.0.15. Nur den Ordner "installation" nicht mitkopieren. Laß die Finger von der Deutschen Version, nimm das Orginal! Cache löschen und mal prüfen, ob das Problem noch besteht.

Dann gehts ans Eingemachte: Logs holen und Lücke finden!

Zitat von flotte

Alle Dateien erst mal sichern!
Laß die Finger von der Deutschen Version, nimm das Orginal! Cache löschen und mal prüfen, ob das Problem noch besteht.

warum soll er die finger von der deutschen version lassen ?

mfg
rainer

Nur wo Nutella drauf steht ist Nutella drin ... :-)

Meine ich durchaus ernst: Die deutsche 1.0.15er-Version ist eine gepatchte Version, kein Original. Quereffekte wird es immer geben. Wenn ich undefinierbare Problem habe versuche alles was Problem machen könnte zu elemenieren. Nichts ist einfacher als später die deutschen Sourcen wieder drüberzukopieren, wenn es denn unbedingt sein muss.

Erst mal vielen Dank für Eure Hilfe und für die Ansätze der Suche.

@keraM
Sorry wegen den Unterschlagungen. Ist mir später dann auch aufgefallen

@flotte
Aslo wenn ich die Dateien sichere, dann speicher ich doch auch den gehackten Kram mit oder? Reicht es die Full Sourcen zu Kopieren auch wenn es verschiedene Versionen sind? Also ich nutze ja die .13 und soll da .15 druber hauen. Geht das? Cache meinste meinen aufm Rechner gelle. Ich frag nur damit ich auch nix falsch mache.
Aso und wenn alles wieder geht könnte ich die deutschen Sourcen wieder drüber bügeln, damit ich auch weiss was ich da so mache.
Mit den Sourcen meinste alles ausser den Install Ordner der Version .15.zip? Verstehe ich das richtig?

Dann werde ich das mal tun und sehen was dabei raus kommt. Is auf jeden Fall ein Ansatz und ich freue mich das Ihr mir helft.

greez Ghost

Edit
Also soweit hat das drüberbügeln funktioniert und ich habe keine Probleme mehr mit dem Einloggen.
Nun habe ich noch ne Frage für zukünftige Sicherheiten. Recht es die Checkliste abzuarbeiten damit es dann wirklich sicher ist? Oder habt Ihr viell noch Tips wie ich so etwas demnächst unterbinden kann?

greez Ghost

Zitat von Ghost_Rider

Aslo wenn ich die Dateien sichere, dann speicher ich doch auch den gehackten Kram mit oder?

Ja tust Du! Eine vorherige Sicherung gehört aber IMMER vor massiven Änderungen dazu. Ob Du die Sicherung stäter noch mal brauchst weisst Du ja jetzt noch nicht.

Zitat von Ghost_Rider

Reicht es die Full Sourcen zu Kopieren auch wenn es verschiedene Versionen sind? Also ich nutze ja die .13 und soll da .15 druber hauen. Geht das?

Ja! Dann hast Du das Joomla gleich geupdated.

Zitat von Ghost_Rider

Mit den Sourcen meinste alles ausser den Install Ordner der Version .15.zip? Verstehe ich das richtig?

Es gibt einen Order, der nennt sich "installation". Den nicht mit kopieren.

Nicht falsch verstehen! Damit kriegst Du erst mal nur Dein Joomla wieder zum Laufen. Die eigentliche Arbeit fängt dann erst an!
Du musst die Lücke finden und Du musst alle dienjenigen Dateien finden, die der Angreifer zurückgelassen hat. Nette Sachen sie PHP-Shell-Scripte etc. Wenn Du nichts weiter änderst oder findest, wirst Du in Kürze erneut Opfer sein.

Zitat von flotte

Du musst die Lücke finden und Du musst alle dienjenigen Dateien finden, die der Angreifer zurückgelassen hat. Nette Sachen sie PHP-Shell-Scripte etc. Wenn Du nichts weiter änderst oder findest, wirst Du in Kürze erneut Opfer sein.

gibt es da eine bestimmte Methode diese fehlerhaften oder grcrackten Dateien zu finden? Oder viell ein Tool?

gruß Ghost

Logfiles auswerten!!!!!!