Ich wurde gehackt -> was tun? Hoster: all-inkl.de

    Hallo zusammen,


    heute Nacht kam von meinem Hoster (all-inkl.de) eine Email, dass schädliche Dateien gefunden wurden sind und diese umbenannt wurden. Meine Seite funktioniert nun gar nicht mehr! Ich habe eine Liste an Dateien, die vermutlich infiziert wurden.

    Ich habe nun umgehend den Hoster kontaktiert und dieser hat mir auch ein Backup zur Verfügung gestellt. Allerdings meinte der Mitarbeiter, dass ich bereits mir vor 5 Jahren schon schädlichen Code eingefangen habe.


    Dass ich selbst Schuld bin, weiß ich nun auch - ich habe seit Jahren mein Joomla nicht mehr aktualisert. Von unnötigen Kommentaren bitte hierzu absehen.


    Meine Frage ist nun, wie gehe ich vor?

    Welche Schritte sollte ich angehen und in welcher Reihenfolge?


    Hier mal ein paar Gedanken:

    - Backup Datenbank machen

    - Passwörter ändern

    - ...


    Sollte ich die Dateien von dem Backup einspielen, dann Joomla aktualisieren? Oder wie geht man am Besten hier vor?

    Wie bereinige ich die schädlichen Dateien?


    Vielen Dank für jede Hilfe

    Von welcher Joomla-Version ist denn überhaupt die Rede?

    Das Bereinigen eines Hacks ist alles andere als trivial. Das bedarf einiger Kenntnisse. Von daher solltest du dir entsprechende Hilfe suchen! Die Hacks müssten nicht nur bereinigt bzw. beseitigt werden, sondern es muss die Ursache ermittelt und beseitigt werden.


    Sehr wahrscheinlich musst du ein neues Joomla aufsetzen (was nun nicht weiter schlimm wäre) und die Inhalte übernehmen. Beim Übernehmen ist wiederum Vorsicht geboten. Prinzipiell könnten auch Bilder und Datenbankinhalte usw. Schadcode enthalten.


    EDIT: Stellt sich auch die Frage, ob das Backup, welches du vom Hoster erhalten hast, noch hackfrei ist....

    Ok, d.h.:

    1) Backup Datenbank machen

    2) ich lösche alle Dateien in meinem Joomla Installations - Ordner

    3) Lade die Dateien des Backups erneut in das Installationsverzeichnis hoch


    4) Upgrade anschließend die Joomla Version


    Die Rede ist von unterschiedlichen Versionen. Meines Wissens läuft eine der 3 Seiten auch noch auf 1.7...

    Die Fehlermeldung auf der Seite ist derzeit:

    Forbidden

    You don't have permission to access this resource.

    Wenn du die Dateien löschst, schwinden deine Möglichkeiten etwas über die Ursache herauszufinden. Sehr wahrscheinlich liegt es aber an deiner alten Joomla-Version, einer alten Drittanbieter-Erweiterung, einer veralteten PHP-Version.....


    Eventuell das Backup erst woanders einspielen und schauen, ob das überhaupt funktioniert und ob man damit weiterarbeiten kann, also aktualisieren oder Inhalte daraus übernehmen. Eine 1.7 zu aktualisieren ist auch machbar, aber zeitaufwendig.

    Funktioniert das Einspielen nicht und du hast die alten Dateien gelöscht, dann ist alles weg.

    Ich würde das erstmal lokal unter xampp machen = neuestes, frisch runtergeladenes joomla 3.9.14 (?) in gleichnamigem Folder wie online mit gleichen Zugangsdaten entpacken, Datenbank genau so benennen wie online, Datenbank-Dump importieren... ist aber nicht dasselbe portieren. Wirst ja sehen, wie die DB beim Importversuch mault. Joomla 1.7 kenne ich nicht, bin erst seit 3.0 dabei.


    Online würde ich solange, wie es dauert, eine einfache, selbstgeschriebene html5-Baustellen-Seite ("under construction") hochladen. Musterseiten gibt's bei w3schools.com zum Download.

    Ich denke nicht, dass das Backup sauber ist. Installation bereinigen, auf 1.7.5 aktualisieren, dann Schritt für Schritt auf 2.5.28. Dort dann alles rauswerfen, was du nicht brauchst, bzw aktualisieren. Kannst du schon vor dem Bereinigen machen, spart Arbeit. Dann auf 3.2 bringen, 3.4.8, 3.6.5, zum Schluss auf 3.9.14. Kostet Zeit und Nerven, aber es ist machbar. Auch damit rechnen, dass ein neues Template nötig sein wird.


    Die beiden 3er bereinigen, und aktualisieren. Routine :).

    Zitat von j!-n

    Ich denke nicht, dass das Backup sauber ist. Installation bereinigen, auf 1.7.5 aktualisieren, dann Schritt für Schritt auf 2.5.28. Dort dann alles rauswerfen, was du nicht brauchst, bzw aktualisieren. Kannst du schon vor dem Bereinigen machen, spart Arbeit. Dann auf 3.2 bringen, 3.4.8, 3.6.5, zum Schluss auf 3.9.14. Kostet Zeit und Nerven, aber es ist machbar. Auch damit rechnen, dass ein neues Template nötig sein wird.


    Die beiden 3er bereinigen, und aktualisieren. Routine :).

    Danke schon Mal an alle für die vielen Hilfen.


    "Installation bereinigen" -> was mache ich hier genau?

    Wie gehe ich genau beim aktualisieren vor? Aktualisiere ich direkt im Joomla Backend oder muss ich die Dateien immer auf den FTP legen etc.?

    Bereinigen bedeutet, den Dateistand (zB Größe der Datei) auf dem Server mit dem einer sauberen, identischen Version zu vergleichen, und ggf zu korrigieren, bzw Dateien zu löschen, die dort nicht hingehören. Dazu zählen auch sämtliche Erweiterungen, und das ist etwas schwieriger. Jeder Profi hat da so seine Tricks, weshalb ich darauf nicht weiter eingehen möchte.


    Aktualisieren würde ich ausschließlich im Backend, nur so wird die Datenbank mit aktualisiert.

    Zitat von vished

    Aktualisiere ich direkt im Joomla Backend oder muss ich die Dateien immer auf den FTP legen etc.?

    Letzteres war vor langer Zeit mal so..... Macht man nur noch, wenn es nicht anders gehen sollte. Anschließend dann "DB reparieren" im Backend anklicken. Weiß gar nicht mehr, ab welcher Version das möglich ist...

    Zitat

    Aktualisiere ich direkt im Joomla Backend oder muss ich die Dateien immer auf den FTP legen etc.?

    Zitat von JoomlaWunder

    Letzteres war vor langer Zeit mal so..... Macht man nur noch, wenn es nicht anders gehen sollte. Anschließend dann "DB reparieren" im Backend anklicken.

    siehe hier: Joomla 3.5 stable veröffentlicht

    https://docs.joomla.org/J3.x:U…_from_Joomla_3.4.x_to_3.5


    Liebe Grüße

    Christine

    Ich wurde auch von All-Inkl informiert. Dabei handelt es sich um eine bei mir gespiegelte Kundenseite, die da schon länger liegt, aber abgesichert ist und bei mir auch regelmäßig geupdatet wurde.


    Da ich alle Seiten, die ich spiegele, vorher auf "echten" Schadcode prüfe und erst dann aufspiele:

    Bei allen Funden handelt es sich um "Nebenbei-Hinterlassenschaften" ohne Schadcode. Text-Dateien und Bildchen von Hackern, die All-Inkl jetzt wohl in seine Scanner-Signaturen neu übernommen hat. Die Funde, die ich selbst jetzt noch zusätzlich recherchiert habe, gehen bis mindestens 2016 zurück. Laut Aussage des Kunden wurde seinerzeit eine Bereinigung durchgeführt. Wohl nicht richtig bzw. vollständig ...


    Ich will damit aber nicht(!!!!) entwarnen bzgl. Seiten, wo nicht schon früher bekannt war, dass die Seite mal gehackt war!

    Noch nachgereicht: All-Inkl sagt im Wartungscenter: "Empfohlene Sicherung sollte älter sein als das Datum 2019-05-10 18:57:35!".

    Das wäre bei oben genannter Seite, hätte ich sie nicht schon gelöscht, also Unsinn.

    Zitat von Re:Later

    Die Funde, die ich selbst jetzt noch zusätzlich recherchiert habe, gehen bis mindestens 2016 zurück.

    Bekräftigt nur die Aussage, dass ALLE Scanner-Ergebnisse, falls was gefunden wurde, lediglich aussagen, dass da was ist. Aber keine Scanner-Ergebnisse nicht bedeuten, dass da nichts ist. Und, dass die Scanergebnisse nicht vollständig sind, also das Löschen nur der gefundenen Dateien ggf. nicht ausreicht.


    Die Original-Seite läuft übrigens bei DomainFactory/HostEurope

    D.h. du wurdest erst vor kurzem von all-inkl. informiert?

    Zitat von vished

    D.h. du wurdest erst vor kurzem von all-inkl. informiert?

    Heute Nacht. Sind jetzt auch 2 gespiegelte Seiten bei mir, auf die oben gesagtes 1:1 zutrifft. Bei mir garantiert nur "Nebenbei-Hinterlassenschaften" ohne Gefahr. Bei Kunden selbst weiß ich aber nicht und habe nur informiert, da kein Wartungsvertrag oder ähnlich. Kann, aber muss nicht genauso "harmlos" sein.


    Einer derer Hoster hat sich rückgemeldet, dass nichts bekannt sei. Bestätigt aber nur, dass man eben nicht alles findet mit Scannern.