Seite (PHP) gehackt!

    Hallo Zusammen,
    ich habe ein Freund, wo seine Webseite angeblich gehackt worden ist. Der Hoster hat ihm eine Nachricht gesendet.
    Ich habe mir die PHP-Dateien angesehen. In der Anlage könnt ihr sehen, dass in der Datei oben irgendwelche Codes eingetragen worden sind.
    Es gibt leider kein Backup. Nur die Backups vom Hoster, die aber auch infiziert sind :(
    Wie kann man die Seiten bereinigen und dagegen schützen?
    Welche Dateien verursachen die Codes?
    Wenn ich die lösche, kommen die sicherlich wieder. Daher die Frage, wie man vorgehen kann.
    Jemand eine Idee?


  • Zum hilfreichsten Beitrag springen

    Zitat von kenman

    Es gibt leider kein Backup. Nur die Backups vom Hoster, die aber auch infiziert sind


    Dann die A-Karte gezogen.
    Wenn Du Dich auskennst, kannst Du mit einem Vergleichsprogramm wie z.B. Winmerge die infizierte Installation mit einer sauberen vergleichen.
    Wenn nicht, alles neu machen (was oft die günstigste Lösung ist) oder einen Profi engagieren der es bereinigt.
    Zusätzlich muss das Sicherheitsloch ausfingig gemacht werden und geschlossen werden.
    Mein Joomla wurde gehackt! Was kann ich tun?

    OK, etwas detaillierter..


    RegEx Search/Replace = Mustersuche (Reguläre Ausdrücke).
    Notepad++ ist dazu z.B. in der Lage.



    Die Entfernung der Masseninjections ist allerdings nur die halbe Miete.
    Wenn die verursachenden Schadcodes nicht gefunden werden, werden die wie richtig vermutet wiederkommen.


    Die Access Logs kannst du nach
    POST.*php (ebenfalls RegEx ;) )
    durchsuchen, um genutzte Backdoor Dateien zu finden.

    Bei derartigen Hacks ist es sinnvoller und preisgünstiger das Dateisystem fix nachzubauen und die alte Datenbank anzuklemmen. Natürlich muß wenigstens die Datenbank per PhpMyadmin dann noch durchsucht werden.


    Das Problem bei derartigen Hacks ist nämlich, dass es selbst Profis geben soll die da nicht alle gehackten Dateien finden. Zumindest melden sich hier vermehrt Kunden von anderen Webseitenbereinigern wo nicht ordentlich gearbeitet wurde. Alleine in dieser Woche 2.
    Der Hintergrund ist, das wirklich alle php Dateien betroffen sind und zusätzliche eingschleust wurden. Selbst im Bilderverzeichnis.

    Zitat von Webworker Berlin

    Bei derartigen Hacks ist es sinnvoller und preisgünstiger das Dateisystem fix nachzubauen und die alte Datenbank anzuklemmen.


    Wenn es sich um nur 1-2 Installationen handelt, dazu noch mit wenigen Erweiterungen, mag das klar der bessere und einfachere Weg sein - völlig ohne erweiterte Fachkenntnis machbar.


    Genau umgekehrt schaut's aus, wenn z.B. mehrere Installationen im Mix (Joomla, Wordpress, Magento) auf einem kompromittierten Webspace im gleichen Account betroffen sind (-> Su­per-GAU und leider keine Seltenheit).


    Da ist es sinnvoller das Tool seiner Wahl anzuschmeißen, eine passende RegEx zu finden und einen Kaffee trinken zu gehen, während zigtausend Dateien bereinigt werden.
    Von der hier passenden
    ..php.*explode.chr.*-1;.\?>
    habe ich diese Woche wieder mehrfach profitiert, daher hab ich mir erlaubt diese einfach mal als oberflächlichen Tipp für die Allgemeinheit zu posten.


    Anschließend hat man einen guten Stand für die weitere Analyse.. search
    Erst dann macht auch ein WinMerge Vergleich (Tipp #1) mit einem evtl. vorhandenen Backup Sinn(!).



    Zitat von Re:Later

    Ich schlotter auch öfters bei oberflächlichen Tipps in Foren, von Leuten, die kommerziell bereinigen und frag mich, ob die dann auch so ihre Bereinigungen durchführen.


    Wenn du mich so direkt fragst - ja - ich führe meine Bereinigungen so durch, um eben nach der Geiz ist geil Manier preisgünstig helfen zu können. Sehe das mehr als Berufung!


    Damit mir meine Kunden nicht weglaufen, setze ich auf 3-monatiges Monitoring oder drehe denen gar einen Wartungsvertrag an. :thumbup:


    Eine tolle systemunabhängige Lösung in brisanteren Fällen ist der SuperScan (Artikel mit GitHub Link auf Sitepoint).
    Wenn Dateien verändert wurden, wird per Cronjob morgens um 8 per Mail darüber informiert - super Sache!

    • Hilfreich

    Irgendwie OffTopic, aber ja doch passend:


    Ich habe übrigens niemanden direkt angesprochen!! Hab ja in meinem Leben nicht nur Joomlas oder CMS gesehen...Und hab hier aus dem Forum noch niemandem über die Schulter geschaut.


    Ich habe ja gar keine Einwände, dass, wenn man weiß, wonach man sucht, irgendeine Mustererkennung das findet, wonach man sucht.
    Trotzdem vertraue ich nur Abgleichen außerhalb des befallenen Systems mit Referenzsystemen außerhalb des befallenen Systems, noch dazu, wenn gesagt wird, dass das System evtl. schon recht lange befallen ist. Dann ist obiges Muster nur eines von sehr vielen möglichen und ist ja auch nur eingeschleuster Code von vielen möglichen. Und wer speichert schon seine Log-Dateien bevor sie der Hoster löscht (Access und FTP)?


    Der einschleusende Code selbst ist oft komplett harmlos aufgebaut und für Laien/Anfänger gar nicht erkennbar schädlich. Und auch da gibt es ja nicht nur einen im System, je nach Dauer des Befalls. Oder base64... Gibts gute und böse.


    Kann ich mir die Mustersuche gleich sparen und fahr halt von Anfang an Abgleiche, lösche schrittweise Unbefallenes (= identisches) oder kopiere, was nachvollziehbar harmlose Unterschiede hat, und hab am Ende eine übersichtliche Menge noch unterschiedliche oder nur in 1 System vorkommende Dateien, die ganauer inspiziert werden müssen. 50% Schaddateien sofort an Dateinamen und Speicherorten erkennbar. Und mit bisschen Routine und Joomlakenntnissen dauert das alles auch nicht sehr viel länger. Und an zweiterem mangelt es halt bei vielen "Dienstleistern" in diesem Bereich.


    Gäbe es eine verlässliche Mustersuche, gäbs einen verlässlichen Scanner, der bekannt ist und allgemein verwendet würde; auch von Hostern.


    BTW: Ein simples, sicheres Audit-System ohne allzugroßen extra Pflegeaufwand kann sich jeder, auch Laie, mit XAMPP o.ä. und JCS selbst aufsetzen (http://www.joomlaportal.de/ver…-scanner.html#post1556736). Muss man halt nur machen, bevor die Seite gehackt wurde. Die Referenz kann man so dann auch ein bisschen rumgammeln lassen und muss nicht zeitnah auf Stand bringen.


    Mir ging es darum, dass Laien/Amateuren Tipps gegeben werden, die oft den Eindruck bei diesen erwecken, man könne mit bisschen entfernen hier und da irgendwas reißen. Kann ab und zu mal klappen, aber meist eben nicht. Gab kürlich auch im andern Forum einen mir bekannten Kandidaten, der sich sicherlich in einem 1/2 Jahr wieder wundert, nachdem er in Rekordzeit 2 Joomlas auf Tipps hin "gesäubert hat", ohne zuvor irgendeine Ahnung von irgendwas zu haben.

    Der TE meldet sich nicht mehr, wir wissen also nicht ob und wie und ...
    Hier meine 2 Cent:
    Die Einblicke wie man einen Hack erkennen/finden kann, das ist interessant, also für mich auf jeden Fall, aber keinesfalls eine Anleitung, um einen Hack zu beseitigen.
    Denn bei *allem* was hier als Tipps geschrieben wurde, muss schon ein gutes Verständnis da sein. Und das hat meistens der nicht, dessen Freund einen Freund hat...


    Der übliche Rat, den der webworker immer lapidar von sich gibt ist schon richtig: Wenn ihr euch selber nicht wirklich gut auskennt - nehmt ein paar Euro in die Hand und engagiert einen Profi.
    Wenn die Bremse am Auto defekt ist, schnitzt man man ja auch nicht nach der Anleitung im Internet einen Bremsklotz :)

    Hallo Zusammen,
    vielen Dank für die reichliche Informationen. Leider konnte ich erst jetzt darauf antworten, weil ich ein paar Tage offline war. Sorry!
    Ich werde die Punkte durchgehen und schauen, welche Umsetzungen am schnellsten und wirtschaftlich tragfähiger ist.
    Ich melde mich in Kürze dazu.