Thema: HTML/Crypted.Gen - Virenschutz warnt vor dem Besuch meiner Seite ?

Hi,

man hat dir anscheinend einen Trojaner auf deinem Server untergejubelt.

Avira Info dazu

Viel Glück!

Bei mir kommt diese Meldung nicht. xyz.com sieht aber auch nicht aus wie Joomla.

So aus der Entfernung und ohne Kentniss der Logs würde ich mal pauschal auf einen iFrame in einer der vielen index.php oder einen Fehler des Antivirus Programms tippen.

Bin in der Sicherheit noch nicht so bewandert, hab aber in den letzten Tagen ne Menge dazu hier im Forum gelesen.
Alle Auskünfte selbstredend ohne Garantie.
Wenn Du die index.php mit einem normalen Editor öffnest sollte nichts passieren, da der code darin ja nicht ausgeführt wird, gilt meines wissen immer.
Deine Index.php sollte ansonsten die gleiche wie vor vier Wochen sein, wenn Du in der zwischenzeit nicht irgendwas installiert hast. die index.php wird meines wissens nach nur bei der Installation von Modulen angefasst. Daher findest Du hier im Forum auch regelmäßig den hinweis alle index.php nach vollständiger Installation schreibzu schützen. Wenn ich mich recht erinnere auf 444 zu setzen.
Es gab vor drei vier Tagen einen ähnlichen thread, da wurde gesagt, das häufig mehrere Dateien befallen sind, also nur weil Du was gefunden hast heißt das nicht das Du aufhören kannst zu suchen.
Hoffe es hilft Dir.

Als erstes nimmst Du bitte die Seite vom Netz. Dazu komplettes Backup (Files + Datenbank), alle Logs (ftp, Web) sichern, dann den Webspace komplett löschen. Passwörter (ftp, webspace) ändern. Jetzt ist sichergestellt, daß Du keinen anderen mehr schädigen kannst.

Die index.php aus dem Backup kannst Du lokal mit einem Texteditor (bspw. pspad) bearbeiten. Meist handelt es sich um einen IFrame, such mal nach der Zeichenfolge "iframe". Und bitte alle index(2,3).php durchsuchen (auch Template).

Es nützt nichts, nur die index.php zu säubern. Es ist gängige Praxis weitere Dateien irgendwo im System abzulegen. Die findest Du am einfachsten über eine Dateiabgleich mit einem älteren, garantiert sauberen Backup.

Damit hast Du aber die Lücke noch nicht gefunden. Also Joomla und alle Erweiterungen (Mambots, Module, Erweiterungen) auf Aktualität prüfen, nicht verwendete Erweiterungen deinstallieren, Logs auswerten.

Erst wenn das System sauber und alle Lücken gefixt sind, dann kannste wieder online stellen.

Viel Vergnügen

Kurz drei Anmerkungen: die Lücke, wodurch diese Dateimanipulationen möglich wurden, ist auch im Backup vorhanden. Wenn man die Lücke im gehackten Joomla nicht ausfindig macht, wird das dann aufgespielte Backup mit sehr hoher Wahrscheinlichkeit wieder gehackt werden. Und zweitens ist aufgrund vieler "Hackmethoden" nicht auszuschließen, daß sich Schadcode in der Datenbank befindet, also jeglichen Content nach verdächtigem Code untersuchen. Zuguterletzt besteht auch die Möglichkeit, daß durch einen auf dem eigenen Rechner eingeschleusten Keylogger alle Zugänge zum Webspace etc etc etc "mitgeschnitten" und an die Hacker gesandt wurden, deshalb möglichst mit einem sauberen Rechner alle Zugänge (Kundenpanel, FTP / MySQL und am besten auch Homebanking) ändern.

Ein kleiner Trost: es gibt hunderte, wenn nicht sogar tausende gehackter Webanwendungen, und den wenigsten fällt auf, daß seine eigene betroffen ist.