Thema: index.php template wird verändert oder ändert sich

Hallo,

ich habe folgendes seltsames Problem:

Manchmal oder letzte Zeit häufig ist urplötzlich das Frontend meiner Website (Joomla 1.0.15) weiß nicht sichtbar. Ursache dafür war immer, dass die index.php des aktuellen Templates plötzlich absolut leer war also 0 Bytes. Ich habe allerdings absolut nichts an der Seite gemacht ... nichts installiert, lediglich wird bei mir täglich die Statistik nachgeschaut.
Heute ist mir zufällig aufgefallen, dass die index.php plötzlich um ein vielfaches größer geworden ist ... es sind lauter seltsame Backlinks auf der Seite von http://bhp.szczecin.pl/portal . Ich habe mit der Seite aber absolut nichts zu tun.
Hat da jemand irgend etwas gehackt oder???

Hat jemand eine Idee was da passiert ??? Für mich ist das ein absolutes Rätzel... Die Seite läuft auch meinem eigenen Server.

Glasklare Sache: Dein Web ist kompromitiert. Hacker, besser Script-Kiddies sind dort tätig. -> das ist zu machen

Vielen Dank... es scheint oder vielmehr ist so, dass meine Seite gehackt wurde. In den Log-Files war zu sehen, dass eine andere IP-Adresse und auch über einen anderen Account sich jemand bei mir in den Admin-Bereich eingeloggt hat. Es scheint so, dass schon vor etwas längerer Zeit sich jemand manuell eingeloggt hat, da in den logs stand, dass die Bilder der Adminoberfläche aufgerufen wurden. Gestern und heute Nacht scheint sich aber ein Script also irgend ein Robot eingeloggt zu haben, da keine Bilder für den Adminbereich geladen wurden. Es wurden nur neue Backlinks in die index.php geschrieben.

Also lange Rede ... ich habe jetzt die index.php und die configuration.php ausgetauscht, das waren die einzigen Dateien die verändert wurden, und neue Passwörter vergeben. Ich denke, nun sollte man abwarten, ob es noch einmal passiert.

Ich denke, dass da jemand das Passwort geknackt hat. Eine Sicherheitslücke bei Joomla wird es ja wohl nicht sein, sonst hätte man doch schon mehr davon gelesen hier im Forum.

Gibt es vielleicht ein Script mit dem man kontrollieren könnte, wann jemand oder ein Robot sich versucht wieder einzuloggen auch die Fehlversuche??? Damit man die Sache nachvollziehen kann.

Ich vermute auch mal, dass es sich bei den Erscheinungen als die index.php Seite leer war um Fehlversuche des Robots handelte Backlinks anzulegen, und dass es sich gestern um die ersten erfolgreichen angelegten Backlinks handelte. Denn was hat ein Häcker für einen Nutzen eine index.php zu leeren??? Hingegen wenn er Backlinks anlegt, steigt er ja im Ranking. Die Backlinks hatten auch alle was mit ****** usw. zu tun.

Also meine Frage wäre nochmal, ob es so ein Script gibt, um fehlgeschlagene Einloggversuche zu dokumentieren???

Die Logfiles?

Zitat von keraM

Die Logfiles?

In den Logfiles steht doch nicht die fehlgeschlagenen Einlogversuche.

Zitat von SchusterHannes

Also lange Rede ... ich habe jetzt die index.php und die configuration.php ausgetauscht, das waren die einzigen Dateien die verändert wurden, und neue Passwörter vergeben. Ich denke, nun sollte man abwarten, ob es noch einmal passiert.

Zitat von SchusterHannes

Ich denke, dass da jemand das Passwort geknackt hat. Eine Sicherheitslücke bei Joomla wird es ja wohl nicht sein, sonst hätte man doch schon mehr davon gelesen hier im Forum.

Das ist nicht Dein Ernst - oder?
Also manchmal frage ich mich, warum wir uns alle so die Seele aus dem Leib schreiben hier. Lies Dir doch mal die ganzen Diskussionen hier durch.

PS:
Ändere auch Dein FTP-Passwort.... aber warum erzähl ich das.

...dran bleiben Flotte. :up:

Man kann nie alle erreichen. Ein pädagogischer Leitsatz: "Die wo da sind, sind die richtigen." So hab ich mir deine Tipps etwa schon gemerkt & weiter gegeben, ohne eigene Sicherheitslücke. 3x Klopf auf Holz. Deine Posts sind also nich umsonst ;-)

Gruß, reservoir Dog

Zitat von flotte

Das ist nicht Dein Ernst - oder?
Also manchmal frage ich mich, warum wir uns alle so die Seele aus dem Leib schreiben hier. Lies Dir doch mal die ganzen Diskussionen hier durch.

PS:
Ändere auch Dein FTP-Passwort.... aber warum erzähl ich das.

Was meinst du damit "das ist doch nicht dein Ernst", das FTP-Passwort hatte ich doch auch geändert.

LIES bitte mal meinen oben geannten Link (auch in meiner Sig zu finden ) oder eben auch die vielen vielen anderen Fälle in den beiden Sicherheits-Foren. Es steht alles da! So schwierig ist das nicht.

Du kannst auch weiter _glauben_, das es keine Sicherheitslücke gibt/gab...
Möglicherweise hast Du auch "geheim" als passwort benutzt (kein Witz, gibts noch genug von)... dann brauch es in der Tat keine Sicherheitslücke. Geh zu 99,999% aber davon aus, das ein Angreifer deswegen nicht weniger "fleissig" ist und keine Backdoor hinterlassen hat.

Was meinst du damit "das ist doch nicht dein Ernst", das FTP-Passwort hatte ich doch auch geändert.

Moin,
ich gehe mit dir jede Wette ein, das Du morgen oder übermorgen wieder erfolgreich gehackt wirst. Das ändern der Passwörter ist teil des "ganzen" aber noch lange nicht ausreichend.

Die Frage die zu beantworten ist, was hat es dem Hacker ermöglicht Dich zu hacken.
Dafür sind die Logs zu studieren. Im Zweifel wende Dich an Deinen Hoster, der sollte Dir helfen.

Grüße