Thema: Joomla gehackt. Gibt es noch Rettung?

Hallo!

Wir betreiben eine Seite, die von einiger Zeit ein Webdesigner erstellt hat. Damals noch mit Joomla 1.0. Nun wurde diese Seite diese Woche gehackt. Nun bräuchten wir eine Beurteilung inwiefern da noch etwas zu retten ist. Ich fange mal an mit den Fakten:

Joomla Version: 1.0 vom 25. Dezember 2006
SQL-Version: Steht hier im 1&1 Manager: MySQL4.0. Zu PHP und Apache Versionen habe ich nichts finden können
Hosting: 1&1 Managed-Server
Logging: Server-Logs sind vorhanden. Logt Joomla auch mit?
Erweiterungen: Wie kann ich einsehen was alles installiert ist? Ich nehme mal an das die Erweiterungen selbes alter wie Joomla haben und daher beide genügend Sicherheitslücken bieten.
Provider bestätigte nur das kein Angriff auf den Webspace stattfand, sondern auf das Joomlasystem.
Backup: Also wie ich das sehe ist die Seite lokal auf diesem Computer vorhanden. Allerdings auch nur das. Joomla und Datenbank und was da halt dazugehört sind nicht gesichert worden. Ich habe nun alles was auf dem Server war versucht runterzuladen. sind ~19000 Dateien. Wovon ca. 200 sich nicht runterladen lassen. Das sind teilweise Dateien mit "äöü" im Namen aber auch Dateien aus dem Joomlaverzeichnis.
Ordnerberechtigungen: Jeder Ordner auf der ersten Ebene hat "775". Vererben die sich nach unten durch?

Wie man merkt, habe ich auch sehr wenig Ahnung von Joomla und wurde erst hinzugezogen nachdem das Kind schon im Brunnen lag. Die ehemalige Webdesignerin kann uns aber leider auch nicht weiter helfen, da Sie mit Joomla lange nicht mehr gearbeitet hat.

Unsere Frage wäre nun ob diese Homepage noch mit vertretbarem Aufwand zu retten ist. Dies würde natürlich beinhalten, dass wir auf Joomla 1.5.x umsteigen und ggf. sicher Plugins etc installieren. Aber ist das bei unserem jetzigen Stand noch möglich? Kann ich einfach Joomla 1.5.x aufspielen und die alten Daten der 1.0 (Die gehackt wurde) dazupacken?

Wir sind für jede Hilfe dankbar!

Mit freundlichen Grüßen

Michael

Hallo Michael,

retten der Seite was Design / Inhalte angeht , ja.
Ist aber mit recht hohem Aufwand verbunden.

Hier müsste man mal drüber sprechen. Ihr könnte mich gerne per PM kontakten.

Andreas

Richtig. So meinte ich das.
Ich habe auch eben nochmal mit 1&1 gesprochen (s. Edit oben)
Schon mal Danke für den Link. So habe ich eine grobe Vorstellung was mich erwartet bzw was nun zu tun ist. Ich würde mich hier wieder melden, sobald das Backup in unseren Händen ist. Schon mal vielen Dank für die Tips!

Gruß
Michael

Zitat von flotte

Die Aussage verstehe ich nicht, denn Joomla liegt in Deinem Webspace!!
Ich gehe davon aus er meint, das nicht der gesamte Server kompromitiert ist, sondern "nur" der Auftritt mit dem Joomla. Darüber hinaus sollte der Serveradmin (in diesem Fall Eure Provider) auch genau erläutern können, wie er zu dieser Aussage kommt. Das kann er ja nur aussagen, wenn er den Angriff genau untersucht hat und WEISS was passiert ist. Ansonsten ist das nur eine Schutzbehauptung.

Anhand der Serverlogs, die es auch auf Eurem Managed Server gibt (nur vermutlich nicht in Eurem Zugriff) muss untersucht werden, was genau passiert ist. Auch FTP-Logs hinzuziehen. Nur so läßt sich die Lücke finden und stopfen. Zumindestens müssen die Logs Euch zur Verfügung gestellt werden, wenn diese Untersuchung nicht durch den Serveradmin durchgeführt wird...(was vermutlich besser wäre). Wie man genau vorgehen sollte ist z.B. hier beschrieben.

Eine Migration auf das 1.5er-Joomla wäre erst der übernächste Schritt. Das alte 1.0.15er ist ja nicht unsicherer als der das 1.5er.

Sodele,

wir haben nun die Backups eingespielt und Joomla von der alten 1.0 auf die 1.0.15 geupdatet. Die Portierung auf 1.5.x verschieben wir erstmal in die Zukunft. Priorität hat erstmal eine funktionsfähige Internetpräsenz. Nun müssen allerdings die Komponenten geupdatet werden. Da stellen sich allerdings für mich als Joomla Neuling Fragen.
Die folgenden Komponenten fand ich in dieser Liste: http://docs.joomla.org/Vulnerable_Extensions_List
com_rsgallery2
com_jim
com_virtuemart
Jeweils in Versionen wie sie 2006 aktuell waren oder vlt. noch älter. Aktuelle Pakete dieser Komponenten konnte ich finden. Aber kann ich diese einfach so drüber bügeln? Oder selbst wenn ich die Config-Datei ausspare beim überschreiben, ist diese dann noch kompatibel zur neuen Version?
Gibt es hier eine sichere Vorgehensweise oder bleibt mir hier nur "Try & Error" übrig?

Gruß
Michael