Hackerangriff auf eine Joomla!-Site?
Liebe Joomla!-Fans und Profi-Gemeinde!
Dieser Beitrag soll über einen möglichen Hackerangriff gehen.
Aber zuerst würde ich mich gerne ein bisschen vorstellen. Ich lebe irgendwo im Regierungsbezirk Köln, und werde demnächst 52 Jahre alt. Das Computern ist reines Hobby von mir; ich habe nichts dergleichen irgendwie offiziell gelernt, sei es Lehre oder Studium oder sowas.
Am vergangenen Montag vor einer Woche wurde eine Joomla!-Website, die ich vor Jahren mal gemacht hatte, gehackt. Vermutlich.
Ich bekam nämlich eine E-Mail des Hosters mit dem Betreff „Kundenbeschwerden“. Bin erstmal ganz schön erschrocken, musste aber feststellen, dass diese E-Mail echt war. Im Support-Bereich des entsprechenden Accounts fand ich eine Meldung in ‚zartrosa‘ „Kunden-Beschwerden“. Im Ticketbeitrag war zu lesen, es habe sich ein Angreifer, wahrscheinlich über ein Joomla!-Kontakt-Modul, Zugang zu der Site verschafft und es sei ihm gelungen, PHP-Skripte zu platzieren. Nun versende die Site Spam-Mails. Der Hinweis sei von einem Dritten gekommen.
Da war ich als relativer Laie ganz schön alarmiert.
Ich hab dann zwei halbe Tage lang mit dem Hoster über Support-Ticket über die Sache geschrieben. Der Hoster hatte schon die sendmail-Funktion der Site sofort gesperrt, dafür aber nichts berechnet. Der Supporter vom Hoster war sehr nett und recherchierte zeitnah einen weiterführenden Artikel in einem Joomla!-Forum. Ich hatte auch ein bisschen was zu tun: ich schaltete die Site ab („Website ist offline – ja“), änderte das FTP-Passwort in ein noch stärkeres, und deaktivierte alle „Kontakte“-Module. Damit sei die Gefahr vielleicht erst einmal gebannt, meinte der Supporter. Er hat natürlich nix garantiert.
Die Site war regelmäßig upgedatet worden, auch gibt es Backup-Zyklen. Aber wie das ja bei Schadcode so ist, man weiß ja nicht, seit wann…
Und vielleicht noch was: Bei der Erstinstallation hatte ich „mit Beispiel-Elementen“ ausgewählt. Diese nach Fertigstellung zu löschen, überstieg meine Fähigkeiten. Vielleicht kam der Angriff darüber? „Display errors“ war aber aus.
Bei meinen anderen Joomla!-Sites habe ich dann überall dasselbe gemacht: Site aus, FTP-Passwort checken, „Kontakte“-Module deaktivieren.
Dieser Beitrag ist sowas wie ne Warnung an euch, solltet ihr sowas brauchen können.
Ich selber wäre bei Gelegenheit dankbar über nen Tipp, wie man das Backend-Passwort ändert.
So, das war’s, ich hoffe, das war jetzt nicht zu viel epische Breite.
Joomla!-Version: 3.9.19
mysql 5.7.25
Viele liebe Grüße
P.S.: Braucht ihr noch was von mir? Viel Erfolg bei allen euren Projekten!