Thema: index.php template wird verändert oder ändert sich

Zitat von flotte

LIES bitte mal meinen oben geannten Link (auch in meiner Sig zu finden ) oder eben auch die vielen vielen anderen Fälle in den beiden Sicherheits-Foren. Es steht alles da! So schwierig ist das nicht.

Du kannst auch weiter _glauben_, das es keine Sicherheitslücke gibt/gab...
Möglicherweise hast Du auch "geheim" als passwort benutzt (kein Witz, gibts noch genug von)... dann brauch es in der Tat keine Sicherheitslücke. Geh zu 99,999% aber davon aus, das ein Angreifer deswegen nicht weniger "fleissig" ist und keine Backdoor hinterlassen hat.

Ich bin jetzt aktuell dabei alles zu Löschen, d. h. Seite komplett Datenbank ... das Verzeichnis löschen. Dann werde ich ein neues Verzeichnis erstellen per FTP neu hochladen und die Datenbank wieder importieren. Ich muss zu meiner Schande gestehen, dass ich ein ziemlich leichtes Passwort hatte. Ich habe die Gefahr auch unterschätzt.

Zitat von joomlahosting.de

Moin,
ich gehe mit dir jede Wette ein, das Du morgen oder übermorgen wieder erfolgreich gehackt wirst. Das ändern der Passwörter ist teil des "ganzen" aber noch lange nicht ausreichend.

Die Frage die zu beantworten ist, was hat es dem Hacker ermöglicht Dich zu hacken.
Dafür sind die Logs zu studieren. Im Zweifel wende Dich an Deinen Hoster, der sollte Dir helfen.

Grüße

Die Logs sind denke ich wohl gut studiert. Wir haben Zeitpunkt IP-Adresse und eben, dass es offensichtlich ein Robot war der sich zuletzt eingeloggt hat, analysiert. Ich denke, wie bereits oben erwähnt, war es wohl das relativ leichte Passwort, was den Hacker den Angriff ermöglicht hat. Die Gefahr habe ich wirklich unterschätzt.

Zitat von SchusterHannes

In den Logfiles steht doch nicht die fehlgeschlagenen Einlogversuche.

Doch

Code:

127.0.0.1 - - [11/Dec/2008:17:27:22 +0100] "GET /test/administrator/index.php HTTP/1.1" 200 4238 --> 1. Aufruf des Backends mit Login
127.0.0.1 - - [11/Dec/2008:17:27:27 +0100] "GET /test/administrator/templates/khepri/favicon.ico HTTP/1.1" 200 1150 --> Aufbau des Templates
...
127.0.0.1 - - [11/Dec/2008:17:27:42 +0100] "POST /test/administrator/index.php HTTP/1.1" 200 4491 --> user/pass gesendet
127.0.0.1 - - [11/Dec/2008:17:27:42 +0100] "GET /test/administrator/templates/khepri/images/notice-alert.png HTTP/1.1" 200 973 --> wegen Fehler wird Notiz eingeblendet
127.0.0.1 - - [11/Dec/2008:17:27:51 +0100] "POST /test/administrator/index.php HTTP/1.1" 200 4491 --> zweiter Versuch
127.0.0.1 - - [11/Dec/2008:17:28:04 +0100] "POST /test/administrator/index.php HTTP/1.1" 200 4491 --> dritter Versuch

Vielen Dank an alle!!!

Bislang hat es niemand wieder geschafft meine Seite noch einmal zu hacken. Ich denke, es lag wohl an dem zu einfachen Passwort. Ich habe auch alles neu installiert usw. Hoffentlich ist jetzt Ruhe.