gehackt

Dann schau mal nach ob du an eine aktuelle Datensicherung kommst, entweder eine eigene, wenn du keine hast hat hoffentlich der Hoster eine, glaube die meisten sichern automatisch jeden Tag und stellen sie auch automatisch zur Verfügung

Überprüfen Sie auch, ob Sie selbst Anpassungen (updates) an der Site vorgenommen haben. Und setzen Sie auch die PHP-Version auf 7.3 oder 7.4

Möglicherweise wurde PHP 5.6 doch durch den Hoster umgestellt. Dann könnte es sein, dass sich die Zugangsdaten für die DB geändert haben. In aller Regel erhält man dann aber die Meldung, dass die Verbindung zur DB nicht aufgebaut werden kann.

Ein Hack muss das noch lange nicht sein. Falls aber doch, dann gibt es nur die Möglichkeiten, die Seite komplett neu zu gestalten oder sich jemanden zu suchen, der die Ursache findet und das dann wirklich sauber bereinigen kann.

Eventuell mit einem älteren Backup weitermachen. Ist natürlich auch nicht so ganz ohne.

Kannst auch das mal probieren bzgl. Fehlermeldung.

Fehler finden durch detailliertere Fehlermeldung. Debug-Modus. Call stack.

Aber, wenn die Seite wirklich gehackt ist, solltest du sie eh per htaccess schützen, traditionell sichern und nicht mehr dran rum fuhrwerken, weil du mit jeder Aktion "Spuren" vernichtest und andererseits Hacker weiterhin Zugriff haben, während du versuchst sie zu bereinigen. Wenn sie, wie du sagst schon länger gehackt ist, gibt es im Normalfall mehrere Einfallstore, die sich Hacker im Laufe der Zeit eingerichtet haben.

Und die PHP ist zwar veraltet, aber norm. kein Problem für Joomla. Derzeit eher umgekehrt, dass paar Erweiterungen mit höheren PHP noch nicht klar kommen. Aber leider mittlerweile auch umgekehrt, dass man Erweiterungen installieren kann, die mit PHP 5 nicht mehr klar kommen.

Auch hier sollte man beim jetzigen Stand nichts ändern, weil auch Hacks ggf. PHP-Versionsabhängig sind. Plötzlich funktioniert wieder alles, weil ein Hack sich nicht mehr aufhängt, aber der Hack ist halt trotzdem noch da.

Zum Schließen der Seite per htaccess bist du letztlich auch Besuchern gegenüber verpflichtet, weil sie sich was "einfangen" könnten.

Zitat von ghostfriend

kommt ein ellenlanger Code an die email-Adresse, der dann aber nicht akzeptiert wird.

So was kenne ich noch nicht. Kannst da mal einen Screenshot machen? Nur, dass man das mal gesehen hat.

Gerade in deinem Eröffnungsbeitrag gesehen: Da das Frontend läuft, trifft meine Theorie mit den geänderten DB-Zugangsdaten (Server) aufgrund einer PHP-Änderung seitens des Hosters wohl nicht zu.

Was passiert eigentlich, wenn du versuchst dich im Frontend anzumelden? Kommt da auch eine weiße Seite?

Nutzt du irgendein Sicherheitstool, welches veraltet sein könnte?

Hast du mal überprüft, ob wirklich noch PHP 5.6 läuft? Eventuell mal eine phpinfo.php ins Joomla-Root legen und aufrufen!

Siehe z.B. auch:

Mein Joomla wurde gehackt! Was kann ich tun?

Moin

Eventuell kann Dein Hoster auf ältere Backups zurückgreifen, als Dir in Deinem Kundenbereich angezeigt werden. Einfach mal bei dessen Support freundliche anfragen und Du kommst vielleicht an eine noch saubere Version Deiner Seite. Auf jeden Fall aber die Seite mit einem zusätzlichen Passwortschutz (htaccess) offline nehmen damit Du ungestört helfen kannst.

Wenn Du überhaupt keine Ahnung hast würde ich das von einem Dienstleister in Ordnung bringen lassen. Kommt das nicht in Frage, würde ich alle Administratoren bis auf Deinen Account löschen, Dich dann für einen Monat bei MyJoomla einkaufen und mit dessen Tools den Schadcode suchen lassen. Setzt aber auch wieder voraus, dass Du zumindest über Grundkenntnisse verfügst. Die beste Variante ist aber wirklich eine noch saubere Version Deiner Seite zu finden und die dann abzusichern.

Gruß Jan

.... Aus der Ferne wird man da kaum helfen können.

Bereinigen und reparieren lässt sich alles, dazu muss die Installation eben komplett auf den Kopf gestellt werden. Ist halt nur die Frage, ob man für den Aufwand etwas ausgeben möchte. Selbst für einen Profi ist das nie Routine.

Ist es wirklich ein Hack oder läuft die Seite aufgrund der veralteten, unsicheren PHP-Version nicht mehr,

weil die Extensions mit 5.6 nicht mehr lauffähig sind?

Ist denn die Seite sehr umfangreich und müssten Daten übernommen/gerettet werden?

Wenn nicht, dann wäre eine reine Neuinstallation und Neueinrichtung zu empfehlen, was in der Tat schneller gehen könnte.

Ansonsten wird es komplexer.

Zitat von ghostfriend

php 5.6.40, Joomla 3.9.13
Im frontend läuft die Seite noch, als admin und auch Besucher kann ich mich nicht einloggen. Unter der url/administrator/index.php erscheint eine weiße Seite.
Ich habe dann über das Kundencenter des Hosters per php my admin in die Datenbank geschaut:
Die user sind noch vorhanden, offenbar sind keine dazugekommen, user_profiles sind leer, user_groups sind verändert. Deutlich zuviele mit admin-Rechten.
In den user_notes steht freundlicherweise von einer nicht mehr vorhanden id der Hinweis, ich solle die Seiten updaten.
Wenn man versucht, sich ein neues Passwort ausgeben zu lassen, kommt ein ellenlanger Code an die email-Adresse, der dann aber nicht akzeptiert wird.
Habt ihr irgendwelche Ratschläge für mich?
Ich wäre wirklich sehr dankbar!

Alles anzeigen

Du kannst das neue Passwort direkt im Klartext in das Feld in der Datenbank schreiben, Joomla hash das beim aufrufen und abspeichern des Profils (über den Joomla-Core) (so habe ich es in einer Entwicklungsumgebung mit !J 3.9.12 erlebt.
Mach aber erst ein KOMPLETTES Backup der Datenbank, vom Webspace und logfiles

Aus Erfahrung kann ich sagen, dass sehr selten eine Joomla Datenbank gehackt wird. Gibt dein Hoster einen Grund an, weshalb die Seite gesperrt worden ist?