Thema: Site gehackt

Hallo Gemeinde,

meine Site wurde von irgend so eionem anti-Irak Typ gehackt, und zwar im Backend. Verä#ndert hat er definitiv die index.php im administrator ordner. die ahbe ich mittlerweile wieder aufgespielt.

jetzt passiert folgendes: die startseite von joomla erscheint im frontend wie ich sie programmiert habe. sobald ich aber auf einen menüpunkt klicke und content abrufen will erscheint die nachricht "Diese Seite ist momentan nicht erreichbar.
Bitte benachrichtigen Sie den System Administrator. " mit dem Joomla Logo. Genauso wenn ich den Backendbereich anwähle.

Was kann da denn noch verbogen sein? die contents der datenbank sind vorhanden, soweit ich das mit PhpMyAdmin kontrollieren konnte.

Hallo

kontrollier doch mal die configuration.php und die index.php usw. Einfach alle Dateien die geändert wurden. Siehst du ja am Datum an. Welche Rechte waren denn da eingestlelt wenn man fragen darf? Die Sicherheitsthreads hier im Forum hast du schon gelesen? Falls nicht tu das bitte noch.

Danke für die schnelle Antwort.

Warnung an alle: passt bitte auf.

Ich bin mittlerweile weiter: der Angriff ist dermaßen fies, das gibts echt nicht. Hat irgendwelche Perl-Scripte im /html Ordner istalliert, die nun jenseits viel Traffic verursachen. Alles ist verseucht und mir bleibt nix anderes übrig als den Account plattzumachen und Joomla neu aufzuspielen.

Die Datenbank hat mein Provider gesichert, hab gerade telefoniert (kann ich nur weiterempfehlen, ist ein Super Service dort, Link dorthin gibts bei mir auf Anfrage).

Übrigens, nach dem Datum der Dateien suchen bringt nix. So schlau sind Hacker schon lange und verstecken Dateien mit dem Installationsdatum des CMS. Mein Provider war so nett und hat mir die entstandene Traffic nicht berechnet. Das kann einem echt um den Monatslohn bringen.

Nochmal: seid bitte alle vorsichtig!! Die meisten von uns machen das alles ehrenamtlich für irgendwelche Vereine, und Ruckzuck ist man da der Depp der noch alles bezahlen kann.

Der Hack sah am Anfang echt harmlos aus (nur ne Gif-Diashow im Backendbereich), mittlerweile entpuppt er sich zum Desaster.

..die Filerechte nicht zu vergessen. Wenn ich da jeweils lese "war auf 777" kommt mir höchstens ein müdes Lächeln über die Lippen... Immer sind ja nicht die unsicheren Drittkomponenten schuld.

Zitat von von Bramberg

da ich an dieser stelle mal behaupt, dass der fehler bei dir lag, da du dich ansonsten ja noch geäußert hättest.

Da kann man davon ausgehen: Beschreibare configuration.php und index.php.

[QUOTE=von Bramberg;245590]kommt wohl nix mehr, oder?
[QUOTE]

Doch, kommt schon noch was, allerdings erst ein wenig später:

1. Filerechte waren alle ok, bin ja auch nicht auf der Milchsuppe hergeschwommen.
2. Entry war wohl über die Komponente ext_calendar, mit der der hacker die pearl scripte in den temp ordner geladen und dann ausgeführt hat. nach längerer und eingehender recherche wurde dann auch irgendwann mal ein sicherheitshinweis von den autoren und ein patch veröffentlicht.
3. im zuge dieser recherche habe ich noch weitere sicherheitslöcher, vor allem in 3rd party applications gefunden und auch mitgeteilt, was wiederum zu diversen updates/patches geführt hat (artlinks, simpleboard etc.).
4. war für mich ne lehre, alle woche mal in den sicherheitsmitteilungen nachzuschauen. vor allem: nicht zu viele applications installieren, sonst verliert man den überblick. wenn jemand ne website rein aus freizeit und ehrenamt betreibt reicht die zeit einfach nicht, um konsequent am sicherheitspuls zu bleiben. lest mal wikipedia "scriptkiddie".
5. von applications, die nicht sicher sind, finger weg. die frage ist nicht, ob ihr, sondern wann ihr gehackt werdet. open source software ist halt beliebt, weil ordnerstruktur etc. bekannt.
6. natürlich ist es immer die schuld des webmasters wenn er gehackt wird, schon klar! hätte sich ja besser informieren können und seine familie den letzten freien abend pro woche auch noch alleine zu hause sitzen lassen können.

Zitat von Rooney

Zum Thema gibt es übrigens auf joomla.org einen treffenden Developer Blog-Eintrag http://dev.joomla.org/component/opti...emid,33/p,230/ mit dem Namen Top Ten Stupidest Joomla! Administrator Tricks.

Schon erstaunlich wie oft man den einen und/oder anderen dieser Einträge in den "Ich wurde gehackt"-Threads wiederfindet