Malware auf meiner Internetseite

    Hallo;


    mein Hoster hat mir vor einiger zeit mitgeteilt, dass meine Internetseite suspendiert wurde, da Malware durch einen Hacker hochgeladen wurde. In vielen Ordnern bin ich fündig geworden und konnte diesen Mist löschen, aber es gibt Ordner, die ich nicht finden kann. Mir wurden entsprechende Dateien mitgeteilt, in der sich noch Malware befinden soll:Bereinigen Sie diese Dateien von Malware."../httpd.private/.fmvtuv.php","./httpd.private/.kysgbd.php", "../httpd.private/.oxbsxh.php", "./httpd.private/.sqvmkf.php".


    Ich kann das nicht finden und entfernen. So lange erscheint, wenn jemand auf meine Internetseite http://www.nachbarschaftshilfe-coswig.de aufrufen will, folgende Meldung: "This site has been temporarily disabled, please try again later."


    Kann mir jemand weiterhelfen?


    Danke

    Das Bereinigen einer gehackten Website ist kein Kinderspiel. Ohne dich zu kennen bin ich der Meinung das Du das nicht richtig gemacht hast. Hier sollte ein Profi ran.
    oder du löschst alles vom Server inkl. Datenbank und beginnst Neu ! (wenn die Seite nicht zu groß ist)
    Deine Seite war sicherlich nicht aktuell von der Joomlaversion oder/und Erweiterungen und deshalb wurdest Du gehackt!


    Hier findest du weitere Infos...

    Wenn dein Auto aufgrund Benzinmangels nicht mehr fährt, kannst du natürlich tanken. Das bringt aber erst wirklich was, wenn du ein mögliches Leck beseitigt hast.

    Auf Joomla übertragen bedeutet das, dass zur Bereinigung auch die Ursache für das Problem gefunden und beseitigt werden muss. Die Seite muss gegenüber Hacks bestmöglich abgesichert werden. Sämtliche Passwörter (Joomla, FTP. Datenbank) sollten geändert werden. Joomla und alle Drittanbieter-Erweiterungen sind zwingend auf einem aktuellen Stand zu halten. Suche mal nach dem Stichwort "Flottes Liste". Da wird die Problematik sehr gut beschrieben! (Link habe ich gerade nicht zur Hand).

    Ansonsten wirst du sehr wahrscheinlich in ein paar Wochen das gleiche Problem erneut haben.


    EDIT: Der Link ist auf der Seite vom Link von eumel1602 zu finden!

    Hallo, eumel1602;


    den Versuch, die gesamten Inhalte zu löschen und ein Backup hochzuspielen, habe ich schon unternommen. Ganz konkret habe ich die gesamten Inhalte gelöscht und ich habe erst am nächsten Tag, als dann die Seite "Hier entsteht eine Onlinepräsenz" eingeblendet wurde, das Backup, was ich im November letzten Jahres erstellt hatte, geladen. Oben genannte Fehler sind geblieben. Ich habe dann auch die gesamte Datenbank gelöscht, komplett, auch das hat mir nichts gebracht. Nun bin ich halt auf der Suche nach "./httpd.private", um zu sehen, ob ich die o.g. Dateien manuell löschen kann. Was ich noch versuchen kann, ist, ich habe in meiner Datenbank drei verschiedene bprefixe, so dass ich hier den jetzt benutzten löschen kann und in der config.php gebe ich einen anderen an, der dann genutzt wird.


    Genutzt hatte ich Jommla 3.9.6, derzeit haben wir 3.9.15, hier habe ich Nachholebedarf...


    Trotzdem, vielen Dank für Deinen Hinweis.

    Zitat von schubidu

    ./httpd.private/.kysgbd.php


    Ich kann das nicht finden und entfernen.


    Das sind anscheinend alles Dateien, deren Name mit einem Punkt anfängt. Das sind "verborge" Dateien und werden dir standardmässig wahrscheinlich nicht angezeigt. Aktiviere mal bei deinem FTP-Programm (oder evtl. beim Dateimanager im Kundencenter) die Anzeige von verborgenen Dateien.

    Wer die Basics und das System insgesamt nicht kennt, der wird auch keinen Schadcode vollständig entfernen können. Woher soll er auch wissen was zum System gehört und was nicht?


    Ist der Hack frisch kann man auf das bereits angesprochene Backup zurückgreifen. Seite offline nehmen, Verzeichnisschutz, alles Löschen und dann das Backup einspielen. Vorausgesetzt man hat auch wirklich eine vollständige Sicherung der Seite.


    Bessere Variante die auch schon angesprochen wurde. Seite offline nehmen, ein neues Joomla parallel aufsetzen und die Inhalte von Hand überragen. Und ganz wichtig: Alle Rechner auf Trojaner / Viren kontrollieren die Zugriff auf die Seite oder per FTP hatten. Alle Zugangsdaten ändern und klar kommunizieren, dass jeder der das Projekt betreut, keine alten Passwörter zu setzen hat.


    Und selbstverständlich alle Software aktuell halten, sowohl in Bezug auf die Webseite, als auch auf Computer die die Seite pflegen.