gehackt

  • php 5.6.40, Joomla 3.9.13
    Im frontend läuft die Seite noch, als admin und auch Besucher kann ich mich nicht einloggen. Unter der url/administrator/index.php erscheint eine weiße Seite.
    Ich habe dann über das Kundencenter des Hosters per php my admin in die Datenbank geschaut:
    Die user sind noch vorhanden, offenbar sind keine dazugekommen, user_profiles sind leer, user_groups sind verändert. Deutlich zuviele mit admin-Rechten.
    In den user_notes steht freundlicherweise von einer nicht mehr vorhanden id der Hinweis, ich solle die Seiten updaten.
    Wenn man versucht, sich ein neues Passwort ausgeben zu lassen, kommt ein ellenlanger Code an die email-Adresse, der dann aber nicht akzeptiert wird.
    Habt ihr irgendwelche Ratschläge für mich?
    Ich wäre wirklich sehr dankbar!



  • Vielen Dank schon einmal für die Antworten.

    deejey Leider ist das letzte noch verfügbare backup auch schon infiziert.
    Gibt es die Möglichkeit, die Datenbank zu säubern?

    Was ich merkwürdig finde ist, dass nach dem Anmeldeversuch eine weiße Seite erscheint.
    Würde das Passwort verändert sein oder der Benutzer nicht mehr existent, wäre doch das eine Fehlermeldung!

    Rondeb Sollte ich die Seite wieder zum Laufen bringen, werde ich selbstverständlich alles auf den neuesten Stand bringen.

  • Möglicherweise wurde PHP 5.6 doch durch den Hoster umgestellt. Dann könnte es sein, dass sich die Zugangsdaten für die DB geändert haben. In aller Regel erhält man dann aber die Meldung, dass die Verbindung zur DB nicht aufgebaut werden kann.

    Ein Hack muss das noch lange nicht sein. Falls aber doch, dann gibt es nur die Möglichkeiten, die Seite komplett neu zu gestalten oder sich jemanden zu suchen, der die Ursache findet und das dann wirklich sauber bereinigen kann.

    Eventuell mit einem älteren Backup weitermachen. Ist natürlich auch nicht so ganz ohne.

  • Kannst auch das mal probieren bzgl. Fehlermeldung.

    Fehler finden durch detailliertere Fehlermeldung. Debug-Modus. Call stack.


    Aber, wenn die Seite wirklich gehackt ist, solltest du sie eh per htaccess schützen, traditionell sichern und nicht mehr dran rum fuhrwerken, weil du mit jeder Aktion "Spuren" vernichtest und andererseits Hacker weiterhin Zugriff haben, während du versuchst sie zu bereinigen. Wenn sie, wie du sagst schon länger gehackt ist, gibt es im Normalfall mehrere Einfallstore, die sich Hacker im Laufe der Zeit eingerichtet haben.


    Und die PHP ist zwar veraltet, aber norm. kein Problem für Joomla. Derzeit eher umgekehrt, dass paar Erweiterungen mit höheren PHP noch nicht klar kommen. Aber leider mittlerweile auch umgekehrt, dass man Erweiterungen installieren kann, die mit PHP 5 nicht mehr klar kommen.


    Auch hier sollte man beim jetzigen Stand nichts ändern, weil auch Hacks ggf. PHP-Versionsabhängig sind. Plötzlich funktioniert wieder alles, weil ein Hack sich nicht mehr aufhängt, aber der Hack ist halt trotzdem noch da.


    Zum Schließen der Seite per htaccess bist du letztlich auch Besuchern gegenüber verpflichtet, weil sie sich was "einfangen" könnten.

    kommt ein ellenlanger Code an die email-Adresse, der dann aber nicht akzeptiert wird.

    So was kenne ich noch nicht. Kannst da mal einen Screenshot machen? Nur, dass man das mal gesehen hat.

  • Gerade in deinem Eröffnungsbeitrag gesehen: Da das Frontend läuft, trifft meine Theorie mit den geänderten DB-Zugangsdaten (Server) aufgrund einer PHP-Änderung seitens des Hosters wohl nicht zu.

    Was passiert eigentlich, wenn du versuchst dich im Frontend anzumelden? Kommt da auch eine weiße Seite?

    Nutzt du irgendein Sicherheitstool, welches veraltet sein könnte?

    Hast du mal überprüft, ob wirklich noch PHP 5.6 läuft? Eventuell mal eine phpinfo.php ins Joomla-Root legen und aufrufen!

  • Moin


    Eventuell kann Dein Hoster auf ältere Backups zurückgreifen, als Dir in Deinem Kundenbereich angezeigt werden. Einfach mal bei dessen Support freundliche anfragen und Du kommst vielleicht an eine noch saubere Version Deiner Seite. Auf jeden Fall aber die Seite mit einem zusätzlichen Passwortschutz (htaccess) offline nehmen damit Du ungestört helfen kannst.


    Wenn Du überhaupt keine Ahnung hast würde ich das von einem Dienstleister in Ordnung bringen lassen. Kommt das nicht in Frage, würde ich alle Administratoren bis auf Deinen Account löschen, Dich dann für einen Monat bei MyJoomla einkaufen und mit dessen Tools den Schadcode suchen lassen. Setzt aber auch wieder voraus, dass Du zumindest über Grundkenntnisse verfügst. Die beste Variante ist aber wirklich eine noch saubere Version Deiner Seite zu finden und die dann abzusichern.


    Gruß Jan

  • Es ist schon eine ganze Menge an Daten und etwa 300 registrierten Benutzern.
    Bei Durchsicht der Datenbank kamen mir schon einige Sachen sehr spanisch vor.
    Ich werde mir morgen nochmal eine andere Datenbank ansehen und euch berichten, was mir merkwürdig erscheint.
    Trotzdem ist mein Problem mit dem weißen Bildschirm nach dem Anmeldversuch nicht behoben. :-(.

  • Du kannst das neue Passwort direkt im Klartext in das Feld in der Datenbank schreiben, Joomla hash das beim aufrufen und abspeichern des Profils (über den Joomla-Core) (so habe ich es in einer Entwicklungsumgebung mit !J 3.9.12 erlebt.
    Mach aber erst ein KOMPLETTES Backup der Datenbank, vom Webspace und logfiles

    Linux ist wie guter Sex, man kann es beschreiben oder darüber reden, man weiß erst, was es bedeutet, wenn man es erlebt hat.

  • Elwood Es sind keine extensions oder sonstigen Änderungen hinzugekommen. Ich hatte schon lange nichts mehr an der Seite geändert. Es gibt einen Autor, der Dokumente hochlädt. Der hat dann bemerkt, dass er nicht mehr ins backend kommt.
    Tja, und ich komme dann auch nicht mehr rein.


    j!-n Ich habe die Seite jetzt per htaccess gesperrt. Den provider scheint das Thema gar nicht zu interessieren. 3 Telefontae liefen ins Leere.