Thema: Joomla-Seite gehackt!

Das PDF habe ich gelöscht, für eine Lösung ist es wertlos und wir wollen doch keine Werbung für die Bösen Kinder machen...

Dich wichtigsten Infos fehlen

Welche Joomla Version?
Welche Erweiterungen sind installiert?
Welche Rechte hatten die Dateien, speziell die configuration.php und das Template?

Björn

Also ... Grundsätzlich lag im Hauptverzeichnis eine Weiterleitung auf www.luenebuch.de/***** (die ist immernoch gehackt). Ich habe jetzt die Weiterleitung auf die index.php gesetzt und umgehe den Hack .... Jetzt weiß ich nicht weiter >> Ich denke global settings MUSS auf OFF ... nur wie?? Habe mit dem Script von Norbert Graup in alle Verzeichnisse die php.ini koipiert, mit dem Satz "register_globals = off", aber im Backend ist keine Änderung zu sehen ..... DANKE FÜR HILFE!

Lösch mal die index.html im Odner "cms_dk"

Und dann finde in der Logdatei raus wie gehackt wurde und was die IP Adresse von der die Datei index.html kommt sonst noch auf den Server geldaden oder verändert hat.
Wenn du ein Backup hast das vor dem Hack angelegt wurde ist es das Sicherste alles vom Server zu löschen und das saubere Backup einzuspielen.
Du musst dann aber auch zusehen die Lücke zu finden und die Software auf aktuelle Versionen zu Updaten.

Und du solltest alle Passwörter ändern.
FTP, MySQL...

Björn

Zitat von lightstone

Aber warum? Kann das noch einmal vorkommen??

Was einmal geht geht immer.

Du hast eine Lücke und es gibt jemanden der weiß wo sie ist.
Aus der configuration.php ist dem Hacker z.B. dein MySQL Passwort bekannt (Wenn er sich das angesehen hat)
Klar kann das noch einmal passieren wenn du nichts änderst.

Außerdem gibt es keine Gewissheit ob der Hacker noch weiteren Code eingeschleust und ihn in Unterverzeichnissen Versteckt hat.
Also
Passwörter ändern
Logdatei auswerten
Updaten (Welch Version ist denn nun im Einsatz?)
usw, ist ihr im Forum schon oft beschreiben worden


Björn

Hi,

Zitat von holmi

Welche Joomla Version?
Welche Erweiterungen sind installiert?
Welche Rechte hatten die Dateien, speziell die configuration.php und das Template?

Björn

man versucht dir zu helfen indem man dich bittet Infos zu posten...von dir kommt jedoch nix....Woher sollen wir dann wissen/vermuten ob das nochmal passieren kann..

Die Tips von holmi befolgen, evtl. paar mehr Infos posten und die Forumsuche verwenden. Zum Thema : "Hilfe ich wurde gehackt" gibt es massig Beiträge. Dort stehen auch Lösungsansätze bzw. Vorgehensweise.

Viel Erfolg.

Hi,

da es eine Seite seines Kunden ist, sollte er wissen was zu tun ist.

Hier nun drauf hoffen das andere die heissen Kohlen aus dem Feuer holen ist nicht, ich sage mal, professionell...

Denn wer Dienstleistungen anbietet sollte schon wissen was man tut.

Sry für so etwas habe ich kein Verständniss *Kopfschüttel*

Zitat von lightstone

Moin zusammen, die Joomla-Seite meines Kunden ist zum 2ten Male gehackt wurden

Was war das Einfallstor beim ersten Hack und was wurde dagegen unternommen?

Aber warum? Kann das noch einmal vorkommen??

Sieht das Dein Kunde auch so?

Da es sich hier um eine durch einen Dienstleister gepflegte Seite handelt, ist die Vorgehensweise glasklar:

0) Kunde über Sinn und Zweck der Maßnahmen informieren
1) Sofort den gesamten Auftritt mit allen Dateien entfernen (sichern!)
2) Datenbankinhalt entfernen
3) Letzte definitv saubere Sicherung einspielen
4) Alle Passwörter ändern (Datenbank, Joomla, FTP, etc.)
5) Log-Dateien holen und Einbruchslücke lokalisieren
6) Lücke schließen!
7) Kunde über Erfolg der Aktion informieren

Sicherstellen, das zwischen 3) und 6) die Seite nicht erneut mißbraucht wurde!

Wenn während der Suche nach der Lücke Detailfragen auftreten, melde Dich wieder.
Das Inspizieren der Logs etc. ist keine triviale Angelegenheit.
Ansonsten schließe ich mich holmi an: Ohne weitre Infos Deinerseits kann man hier nichts mehr sagen - außer raten.