Joomla Website gehackt, wie Dateien auf Schadcode überprüfen?

Zoker · 14. April 2014

Hallo zusammen,

Von gestern auf heute wurden von einer meiner Joomla Installationen mehrere Tausend Spam Mail verschickt.

Daraufhin wurde mein Netcup Account gesperrt und nach Rücksprache mit dem Hoster, wurde mir geraten, ein Backup vom Server zu ziehen und auf Schadcode zu überprüfen.

Leider habe ich keine Ahnung, wie ich das machen soll...

Reicht es mit meinem auf dem PC installierten Gdata drüber zu schauen, oder gibt es eine andere gute Software dafür?

Vielen Dank
Zoker

SymA · 14. April 2014

.....
Nein Gdata hilft dir da nicht. JavaScript und PHP Code prüfen auf etwaige Modifikation...

Zoker · 14. April 2014

Gdata hat schon zwei Viren gefunden

Ich kann doch nicht alle 16.000 Dateien auf Modifikationen überprüfen :O

DOCa Cola · 14. April 2014

welche version von joomla hast du denn?
ja, lade dir ein backup. Dann downloade das entsprechende joomla paket von der offiziellen seite von der version die du benutzt und mache einen datei vergleich. Mir fällt jetzt gerade nur beyond compare ein, aber es gibt sichere dutzende andere datei vergleichstools.

SymA · 14. April 2014

Demnach dürfest du auch nichtmal einen Server mieten dürfen. Du sollst auch primär deine persönlichen Daten prüfen. Dazu noch alle Einstellungen am Server prüfen. Scheinbar war wohl eins der Passwörter absoluter Bockmist wenn darüber Spam Mails verschickt wurden.

DOCa Cola · 14. April 2014

SymA schrieb:
Scheinbar war wohl eins der Passwörter absoluter Bockmist wenn darüber Spam Mails verschickt wurden.

entweder das, oder es wurde eine veraltete version von joomla mit offener sicherheitslücke verwendet. Eine anfällige 3rd party komponente könnte es auch gewesen sein

SymA · 14. April 2014

Richtig. Muss man händisch durchgehen und gucken - und du kannst es sehr wohl. Ist nämlich deine Pflicht und Verantwortung das zu prüfen, denn du kannst dafür haftbar gemacht werden.

Zoker · 14. April 2014

Ja ich muss zugeben, es war eine Joomla Installation, die ich mal zu testzwecken verwendet habe und ich hab mich nicht um Updates gekümmert :/

Version war 2.5.14 soweit ich weiß...

Wie kann ich eigentlich anhand der Dateien, die Version von Joomla herausfinden?

SymA · 14. April 2014

In irgendwelchen Dateien wird als Kommentar die Version angegeben werden.

Turas · 14. April 2014

Händisch durchgehen ist ja mal absolut sinnfrei. Da man ja nicht weiß, wie es vorher aussah, kann man ja wohl kaum Änderungen erkennen. Es gibt zwei Optionen:

Einfach eine neue Joomla-Installation erstellen und die configutation.php + eigenen Dateien kopieren
Die originalen Joomla Dateien herunterladen und ein diff machen

Beides sollte innerhalb einer Stunde erledigt sein.

Davon abgesehen musst du halt den Server sauber machen. Hier wäre es unter Umständen am einfachsten, wenn du den Server neu aufsetzt.

RichBone · 16. April 2014

Hallo

2 Möglichkeiten:

1. deinen Webhoster nach ein Backup vor dem Hack fragen
2. die Daten vom FTP löschen (bis auf Bilder), und durch ein älteres lokales Backup auf dem Server ersetzen

Bei Joomla werden die Texte und Inhalt bis auf Bilder (Uploads) in der Datenbank gespeichert.

Empfehlen würde ich auf das das Joomla danach unbedingt geupdatet werden sollte, zu dem würde ich alle FTP & MySQL Zugangsdaten ändern.

Mit freundlichen Grüßen

Martin Krüger

Daaron · 16. April 2014

Da auch die Datenbank kompromittiert sein kann: Hier hilft nur ein globales Backup, inklusive der Datenbank-Einträge.

- Nein, du kannst die Manipulation nicht erkennen.... außer natürlich du bist ein unglaublich kompetenter PHP-Entwickler, der Joomla wie seine Westentasche kennt.
- Joomla 2.5 hat einen monströsen Bart und noch viel größere Sicherheitslücken. Du bist SELBST SCHULD. Kümmer dich um deinen Scheiß, oder betreib keine Webseite.

RichBone · 16. April 2014

Hallo

muss Daaron recht geben, Joomla zu verwenden ist ansich nicht schlimm, aber es nicht zu pflegen ist ein absolutes NOGO, und wird in der Regel direkt mit solchen Hacks bestraft.

Aus meinen Erfahrungen bleiben meist die Datenbanken unberührt, lediglich die Benutzer würde ich prüfen.

Mit freundlichen Grüßen

Martin Krüger

PS: @Zoker

Wenn du hilfe benötigtigs kannst du dich gerne per PM bei mir melden.

Daaron · 16. April 2014

RichBone schrieb:
Aus meinen Erfahrungen bleiben meist die Datenbanken unberührt, lediglich die Benutzer würde ich prüfen.

Also wenn ich eine Seite hacken würde, würde ich nicht das Dateisystem manipulieren (das fällt auf), sondern die Datenbank mit Schund speisen. Da kann man bei einem CMS so viel mehr Schaden anrichten, und das Ganze so viel weniger auffällig.

RichBone · 16. April 2014

Hallo

die meisten Joomla Installationen werden aber nur Gehackt ob Spam zu versenden, und denen ist die Datenbank egal, die laden die PHP Mail bzw. SMTP Script auf den Server und versenden Ihren Schrott, das bringt denen mehr als irgendwelche Daten in der Datenbank, da es hier nur um den Spamversand und nicht um das ausspehen von Kundendaten geht.

Mit freundlichen Grüßen

Martin Krüger

Daaron · 16. April 2014

ich dachte auch nicht an das Ausspähen von Kundendaten. Aber indem du manipuliertes JavaScript in die Content-Bereiche einbettest, kannst du viele ungesicherte Besucher mit Schadcode infizieren, was dir Zugriff zu einem monströsen Botnet ermöglicht. Im Prinzip das, was die Lücken in Werbe-Netzwerken immer wieder verursachen.

Suche

Joomla Website gehackt, wie Dateien auf Schadcode überprüfen?

Zoker

Lt. Junior Grade

SymA

Captain

Zoker

Lt. Junior Grade

DOCa Cola

Lt. Junior Grade

SymA

Captain

DOCa Cola

Lt. Junior Grade

SymA

Captain

Zoker

Lt. Junior Grade

SymA

Captain

Turas

Lt. Commander

RichBone

Lieutenant

Daaron

Fleet Admiral

RichBone

Lieutenant

Daaron

Fleet Admiral

RichBone

Lieutenant

Daaron

Fleet Admiral

Ähnliche Themen