Auch ich wurde gehackt, ebenfalls all-inkl

Das sind ja Zufälle, auch ich bin bei All-inkl mit der Homepage, auch ich habe heute eine Email von denen erhalten mit den "Gehackt-Hinweis". Mittlerweile habe ich die Homepage vom Server gelöscht, vorher die Daten heruntergeladen, auch die Logs.

Hätte nie gedacht das meine Homepage gehackt wird, zumal ich stets Joomla aktuell halte (3.9.14, PHP 7.2), und auch die Erweiterungen (JCE Pro, diverse von Regular Labs, Template) die passenden Updates erhalten. Nun hätte All-inkl 78 Dateien mit "Virus" umbenannt, einen Teil davon sehe ich auch, dass diese wohl kaum von mir oder Joomla abgelegt wurden. Die heruntergeladenen DAteien aus dem FTP ergaben mittels aktuellem Virenscanner (ein bekannter Branchenriese, will keine Werbung machen) keine Viren oder sonstige Gemeinheiten.

Der Hoster hat ja die dubiosen Dateien umbenannt. Schaue ich diese nach dem Datum sehe ich, dass einige davon Anfang 2019 erstellt wurden. Heißt das für mich, ich muss eine entsprechend davor erstellte Sicherung wieder aufspielen?

Wie gehe ich jetzt mit der Datenbank um? Wie stelle ich hier fest, ob dort irgendwas unbefugt geändert wurde? Wie gehe ich mit den Benutzerkonten um? Muss ich von allen angemeldeten Usern ein neues Passwort erzwingen (und wie geht das)?

Passwörter zu allen administrativen Bereichen (Member, KAS, FTP, Datenbank) habe ich jetzt geändert, die Änderung der Email-Passwörter folgt. Natürlich auch mein Joomla-Admin-PW.

Sorry das ich euch damit behellige, aber die ganze Sache hat mich ziemlich erschreckt, und mir schwirren darüber (zu) viele Gedanken im Kopf.

Das backend ist per ECC+ mit einem Token versehen, wer es nicht mit angibt gelangt auf die Frontend-Startseite. Es gibt einen weiteren Superadmin-Zugang, den 3-4 sehr vertrauenswürdige Personen benutzen, die mir versichert haben, das dieser Zugang nicht (wie auch immer) weitergegeben würde oder sonst etwas auf der Homepage geändert wurde. Die Arbeitscomputer sind virenfrei.

Die Virensuche der FTP-Daten, die ich heruntergeladen habe, war ohne Befund. Die auffälligen Daten hat komischeweise Filezilla (habe ich überprüft, ist aktuell) nicht heruntergeladen. Diese Daten sind jetzt vom Server gelöscht, wobei ich über KAS den Webspace über die Funktion "Webspace leeren" (bietet All-inkl an) geleert habe.

Ich habe gelesen, dass man die (Joomla)-Dateien der Homepage mit den des Core-Paketes vergleichen soll, wie mach ich das am besten? Von Viktor Vogel gibt es ein Tool, welches aber etwas älter ist und ich aktuell natürlich extrem vorsichtig geworden bin.

Im Root von meiner Joomla-Homepage gibt es eine Datei wcc.zip, gehört die zu Joomla bzw. einer bekannten Erweiterung?

Die kickstart.php..... ach du heilige sch...!!! Die hatte ich tatsächlich im Root noch gehabt. Und diese ist ja noch von Vorgestern. Kann so etwas ein Einfallstor sein?

Also kann und soll man die ZIP-Dateien im root löschen (habe ich nicht hochgeladen)?

Die index.htm wurde von all-inkl ebenfalls moniert. Wie soll ich da vorgehen, wobei wohl, wie Chris angemerkt hat, sicherlich nicht die einzzigste Core-Datei ist die manipuliert wurde. Saubere Dateien aus dem Core nehmen?

Ich möchte das JCS verwenden, https://kubik-rubik.de/de/jcs-joomla-checksum-scanner, ist das noch "aktuell"? Das letzte Update ist laut Homepage von 2016.

Mal eine Verständnisfrage, es wurden von All-inkl Dateien als Virus markiert die z.B im Template-Ordner waren. Da ist eine Datei "ListenersPriorityQueue_wp.php" in zwei Template-Ordnern, wohl dubiose Dateien. Kann es sein das "böse Jungs und Mädchen" ihre Dateien mit irgendwas bei einer Joomlainstallation mit logisch klingenden Namen vertuschen wollen?

Laut all-inkl wurden in den korrupten Dateien Viren mit den Namen "php_shel", "php_obfus" gefunden.

Guten Morgen. Danke Viktor für deinen Beitrag, werde dein Tool benutzen.

Ich schaue gerade manuell durch die vielen Ordner *gähn*. Hin und wieder tauchen Dateiem ohne Dateiendung wie "MlRUAmPSVWmDigegHQkxMUypdPCjPdKg" (oder anderen kryptischen Buchstabenketten) in irgendwelchen unterschiedlichen Ordnern auf. Im Texteditor steht nur folgender Code drin:

<?php echo "hello!";

Im Joomla Github steht diese Dateien nirgends drin, daher habe ich sie entfernt.

Website ist wieder an Start, habe u.a. alle nicht benutzten bzw. nur seltenstgenutzte Erweiterungen rausgeworfen. Und, ja ich habe dazu gelernt, die Kickstart.php ist auch weg.

Auf jeden Fall vielen Dank für eure Anmerkungen, Hilfestellungen, Hinweisen und Co. Ich habe auf alle Fälle wieder etwas dazugelernt.