Neuinstallation nach Hackerangriff

    Hallo Gemeinde,

    erneut wurde eine Seite angegriffen und jede Menge ge/verändert.
    Die öffentliche Seite wurde zwar noch angezeigt, aber der Admin-Bereich nicht mehr.
    Bei genauerem Hinsehen waren auch im Hauptvezteichnis dutzende Schad-Dateien drin.
    Teile wieder neu hochzuladen macht glaube ich keinen Sinn, allerdings würde ich die kompletten Inhalte ungern komplet nochmal neu anlegen.
    Daher meine Frage:
    Kann ich NUR eine aktuelle Version per FTP hochladen (plus die tatsächlich unverseuchten Ordner für zusätzlich installierte Komponenten, Module und Plugins) und die "alte" Datenbank verwenden?

    Grüße
    Matthias


    Die gehackte Seite war schon auf 3.9.15 upgedated

    Genau aus dem Grund machen wir ja alle Backups und bewahren die auf für den Schadfall. Also: Backup zurückspielen.


    Kein Backup? == Kein Mitleid!


    Du kannst natürlich eine frische Joomla-Installation mit einer bestehenden db verbinden, das geht. Dennoch musst du dir überlegen, wieso deine Installation gehackt worden ist.

    Es kann prinzipiell Schadcode in jeder dieser vielen Dateien stecken und manchmal auch in der Datenbank oder in Bildern, wenn auch äusserst selten. Die Frage wird dir deshalb so keiner beantworten können. Das Einspielen eines sauberen Backups wäre die optimale Lösung.

    Du schreibst, dass erneut eine Seite "angegriffen" wurde. Kennst du denn die Lücke des letzten Angriffs und wurde diese beseitigt?

    Kannst dich aber sonst gerne bei mir melden!

    Backup hatte ich dem System des Providers überlassen, der seine Backups allerdings leider nur für rund 6 Wochen vorhält.
    Das war wohl ein Fehler.

    Ja, wie konnte der Angreifer eindringen, das ist ne gute Frage. So wie es aussieht über FTP.
    Wir hatten Anfang Dez 19 schon einen Angriff, Da wurde allerding nur bereinigt, nicht neu installiert.
    Alle Passwörter wurden geändert, 12-stellig mit Sonderzeichen, also so normal nicht zu knacken.


    Also ich mache dann eine Neuinstallation.
    Da brauche ich noch nen Tipp, wie ich die vorhandene Datenbank an die neue Installation einbinde.

    Gibts ein Tool, wie ich die DB nach Schad-Daten durchsuchen kann?

    Wenn jemand einmal wirklich per FTP drin war, dann bringt das reine ändern von Passwörtern nix, wenn schon eine Backdoors drin ist.

    Für das bereinigen einer Datenbank braucht man schon etwas Erfahrung.


    Wie umfangreich ist deine Seite denn? Wenn groß (deutlich über 100 Artikel) würde ich neu installieren und per J2XML übertragen. Ansonsten würde ich neu aufsetzen und per Hand Copy und Paste machen.


    Wichtig: Neue Seite mit starken Passwörtern, immer aktuell halten (Joomla und Erweiterungen), Backend per htaccess sperren... Das sollte schon Mal ein guter Anfang sein, dann gibt es auch wahrscheinlich keinen Hack mehr.

    Wenn du eine neue Installation machst und deine Seite nicht allzu groß ist, dann würde ich die Inhalte per Copy&Paste übernehmen. Dabei kannst du den Inhalt auch gleich auf Schadcode überprüfen!

    Damit wäre Dateien und Datenbank sauber.


    Für die Zukunft:

    Halte alles aktuell, auch die Software auf deinem Rechner!

    Nutze einen zusätzichen Passwortschutz für das Backend!

    Deaktiviere alles, was du nicht benötigst. Das kann beispielsweise die Benutzerregistrierung sein.

    Arbeite mit einem Spamschutz!

    Zitat von matthias

    Ja, wie konnte der Angreifer eindringen, das ist ne gute Frage. So wie es aussieht über FTP.

    Ganz wichtig:


    Überprüfe auch deinen lokalen PC bzw. das FTP Programm.

    Dort könnten auch schon Einfalltore sein.


    Ich hatte das mal vor Jahren. Habe die Zugangsdaten immer gespeichert und nicht neu eingetragen.

    Irgendwann waren die gespeicherten Zugangsdaten 'anders' als sonst.

    Aber rechtzeitig gemerkt.


    Nur so noch als Tipp. ;)

    Zitat von matthias

    Backup hatte ich dem System des Providers überlassen, der seine Backups allerdings leider nur für rund 6 Wochen vorhält.
    Das war wohl ein Fehler.

    Das Backup des Hosters dient dazu einen Ausfall seiner Hardware zu überbrücken, er lässt die Kunden freundlicherweise darauf zugreifen. Nicht mehr oder weniger. Für Backups generell ist jeweils der Kunde selbst zuständig. Und 6 Wochen sind schon eine verdammt lange Zeit für eine kostenlose Dienstleistung. Da noch (bei Selbstverschulden) von einem "Fehler" zu sprechen ist nicht ist nicht nur frech, sondern einfach nur unverschämt. Sorry kein Mitleid für Anwender, die die Verantwortung auf Fremde abwälzen und sich dann noch beschweren.

    Ich vermute mal das beim letzten Hack keine echte Analyse gemacht wurde und auch beim jetzigen Hack nicht wirklich geprüft wurde, wie der Angreifer reingekommen ist. Du vermutest FTP - auf Basis welcher Fakten? Nur die Logs können die Fragen tatsächlich beantworten. Dazu gehören Web- und FTP-Logs.

    Einmal gehackte Seiten werden immer wieder "besucht" . Deshalb werden ja Backdoors eingerichtet, damit man wiederkommen kann. Mit hoher Wahrscheinlichkeit hängen also beide Hacks zusammen. Nach so langer Zeit wirst Du faktisch keine echte durchfreifende Analyse mehr machen können. Vermutlich gibt es gar keine Logs mehr und die Dateien auf dem Server haben längst neue Zeitstempel, sind verändert etc.pp.

    Falls es tatsächlich ein FTP-Hack war, kann es sein das Du Trojaner auf dem PC hast oder - falls noch andere so zugreifen dürfen, das dort Trojaner sitzen und "mithören". Die Untersuchung aller beteiligter PC gehört also auch dazu.


    Wie in aktueller Situation vorzugehen ist, kann Dir hier niemand seriös sagen, ohne Kenntnis des Servers (ggf. liegen dort ja nich andere Webs und Backdoors außerhalb Deines Joomla?

    Das sicherste wird vermutlich(!) in der Tat sein, ALLES zu löschen, den gesamten Account auf dem Server, alle Dateien, alle Zugänge neu setzen, PC prüfen und dann das Joomla neu installieren. Übernahme von Inhalten durch Paste&Copy oder Tools wie J2XML - sofern möglich.

    Wir sollten noch anmerken das dass Einspielen von Backups nur Dateien ersetzt, die im Backup vorkommen. Zusätzliche Dateien (wie bei Schadcode oft üblich) werden vom Backup nicht berücksichtigt. Daher sollte man - wie Flotte ja sagte - zuerst den Webspace löschen und dann erst das Backup einspielen. Das Gleiche gilt meines Wissen nach übrigens auch für die Datenbank.