Immer wieder auftauchender Schadcode in defines.php

    Hallo,


    ich habe folgenden Fall:
    Eine Joomla Seite auf meinem Server enthielt laut Provider Schadcode: die defines.php war infiziert. Grund war vermutlich die veraltete Joomla-Version, schätze ich.
    Der Provider hat die Datei daraufhin umbenannt und die Seite war daraufhin nicht mehr erreichbar.


    Nun habe ich auf demselben Server eine neue Joomla-Seite erstellt, von Anfang an die neueste Joomla-Version installiert und komplett neu angefangen. Den Link zu der neuen Seite habe ich noch nicht veröffentlicht (abgesehen von den eingetragenen Benutzern, die schon drauf zugreifen konnten).
    Und nun, ein paar Tage später ist schon wieder die defines.php mit (demselben?) Schadcode infiziert.


    Habe ein Backup mit Akeeba gemacht und dann alles komplett platt gemacht, neuestes Joomla installiert und das Backup wiederhergestellt. Der hat auch alles wieder hergestellt, inklusive der defines.php mit dem Schadcode.


    Habe auch immer wieder nach jedem Schritt alle Passwörter geändert.


    Was mache ich nun um die Seite wiederherzustellen OHNE Virus?


    Danke für alle Antworten!

    In den FAQ findest Hinweise zu Seite gehackt, was tun.


    Zitat

    Und nun, ein paar Tage später ist schon wieder die defines.php mit (demselben?) Schadcode infiziert.


    Das gibt dir die Möglichkeit, über einen relativ kurzen Zeitraum die Log-Dateien (FTP und Webserver-Access) zu analysieren. Sind ja dann nicht so viele Einträge. Beim Provider anfragen, wenn du nicht weißt, wo liegen.


    Zitat

    Habe ein Backup mit Akeeba gemacht und dann alles komplett platt gemacht, neuestes Joomla installiert und das Backup wiederhergestellt. Der hat auch alles wieder hergestellt, inklusive der defines.php mit dem Schadcode.


    Das macht ja keinen Sinn. Eine neue Seite und dann ein infiziertes Backup drüber?
    Das befallene Backup als Basis, um auf deinem lokalen Rechner per Dateiabgleich geänderte und neue Schaddateien zu finden, zu löschen, zu bereinigen durch Ersetzen mit Originaldateien. Frühestens dann wieder auf den Server, nachdem das ursprüngliche Einfallstor identifiziert ist und abgesichert.


    Zitat

    Den Link zu der neuen Seite habe ich noch nicht veröffentlicht (abgesehen von den eingetragenen Benutzern, die schon drauf zugreifen konnten). Und nun, ein paar Tage später ist schon wieder die defines.php mit (demselben?) Schadcode infiziert.


    Dann halt einer der Benutzer bzw. einer der Benutzer hat z.B. was auf seinem Rechner, so, dass die Hacker, egal wie oft du dein Kennwort änderst, immer wieder an die Daten kommen, bspw. FTP-Kennwörter. Oder du selber hast eine Lücke auf deinem Rechner, bspw. betreibst FileZilla nicht im Kioskmodus + Virus oder Keylogger usw. usf.


    Oder du hast die infizierte Seite nicht per Verzeichnisschutz radikal geschlossen und sie haben ein Backdoor-Script (eh zu vermuten), mit dem man ja auch an die anderen Ordner des Webspaces kommen kann, also auch an das saubere Joomla (und weitere).


    Der Verzeichnisschutz darf auch nicht für Sekunden wieder geöffnet werden.


    Du wirst eh diverse befallene Dateien, ob nun geänderte oder neue verteilt auf den Space haben, z.B. im Bilderordner (kann aber auch jeder andere sein), den man ja gerne mal ungeprüft wieder in die neue Seite reinkopiert.

    Danke für eure Hilfe!


    Hab im Log herausgefunden, dass Teile der infizierten Seite noch erreichbar waren und darüber vermutlich der Schadcode wieder hineingelangt ist. Hab die nun komplett gekillt.


    Kann ich ohne Gefahr ein Backup der Datenbank, also ohne die ganzen Daten die auf dem FTP-Server liegen einspielen?

    Klare Antwort: NEIN
    Du hast nicht gelärt was passiert ist. Viele Hacks basieren darauf, das sich User Accounts einrichten konnten, sich dann eingeloggt haben und dann Uploads tätigen konnten. Solange Du die Hack nicht vollumfänglich analysiert hast, lass die Finger von alten Daten.
    Hast Du auch das FTP-Log geprüft?
    Ein "vermutlich" kommt bei einem Hackanalyse nicht in Frage.