Thema: Webseite durch Code verseucht - wer hilft mir?

Hallo, nun hab ich wieder so scheiss Code auf der Seite. Ich finde nicht wo der steckt. Könnt ihr mir sagen in welchen dateien ich schauen soll?

hier die seiten...
ist nur in der galerie(zumindest was ich gefunden habe)

http://www.koi-krauss.de/component/o...ce/Itemid,126/

Scrollt ganz runter ans ende der seite, dann seht ihr den text(die links)

danke..hoffe ihr wisst wo der mist steckt

Zitat von keraM

Herzlichen Glückwunsch! Du bist gehackt worden und kannst Dich schon mal hier im Forum umsehen und lesen.

Flottes goldene Regeln wirst Du da oft finden.


1), 2), 4) und solltest Du sofort umsetzen.
Bei 3) weiß ich nicht, ob Du so was hast.
Bei 5) fängt die Arbeit an und 6) ist dann der krönende Abschluß.

Du schreibst, daß Du solchen Mist schon mal drauf hattest. Das er jetzt wieder da ist zeigt, daß die Lücke nicht geschlossen und/oder durch die bösen Buben eine Hintertür eingebaut wurde.
Egal wie, nimm das nicht auf die leichte Schulter. Wenn Dein Provider Dich nur vom Netz nimmt, ist er gnädig.

bei meinem provider wurden öfters die ftp-kennwörter geknackt. das nützt mir nun aber nichts - ich hab auch keine saubere sicherung. wo finde ich die sachen? in welcher datei? in der datenbank? bitte helft mir die weg zu bekommen.

bitte um hilfe

Zitat von j!-n

Die Site ist ja immer noch online, nimm mal vorsichtshalber den Link zur Site heraus, um das eventuelle Verbreiten von Schadcode zu vermeiden . keraM hat alles beschrieben, der Code kann überall stecken. Es gibt unterschiedliche Wege, ein Joomla zu hacken, der Schadcode kann sich auch in der DB befinden, alles schon in täglicher Praxis erlebt. Wichtiger ist es, die Lücke als Ursache herauszufinden, denn der Code, der dort zu sehen ist, ist nur die Wirkung. Mehr Infos findest Du im Sicherheitsforum, viel Glück.

ich glaub ich hab die stelle.. die configuration.php hatte 777 rechte - die hat meine bürokraft wohl vergessen zu setzen. hab die nun geändert auf 644 und die kennwörter alle neu gesetzt.

mit logs hab ich keine ahnung wo es die gibt. da bin ich der laie zu groß

es ist ein jomla 1.0.12 und das problem tritt nur beim öffnen der componente ice-gallery auf.

die sicherung der db und des html verzeichnis ist nun gemacht..

was nun?

gruß

Zitat von Claudia E.

Joomla 1.0.12 ist unsicher, das Update wäre längst fällig gewesen.
Ob das reicht, weiß ich nicht.
Da vertraue ich lieber denen hier, die Ahnung davon haben.

Edit: auch die ICE war von einem Leck betroffen, ich fürchte, du hast auch hier nicht die aktuelle Version?!

so, ich hab das neueste update von joomla nun installiert 1.0.15
von der icegallery hatte ich die neueste version. ich habe nun alle tabellen der ice_gallery in der db gelöscht und vorher die componente deinstalliert. auch alle verzeichnisse im html dazu gelöscht. dann habe ich die ice gallery nochmal downgeladen und neu installiert. genau das gleiche wieder...

das muss dann wo anders stecken und nicht in der ice gallery. komisch, es wird aber nur bei der icegallery angezeigt

Zitat von keraM

welche komponenten hast du noch installiert?

Ice Gallery , joomlaXplorer

die anderen sind alle vom author www.joomla.org und die standard components.

von zeit zu zeit hatte ich mal mehr componenten, als ich galerien testete. sind aber alle uninstalled. tabellen hab ich auch bereinigt..was noch übrig war davon. genauso das html-verzeichnis.