Was genau sagt denn der Provider? Er sollte doch auf jeden Fall Angaben gemacht haben, an denen er Phishing erkannt hat.
Wenn das also schon der zweite Vorefall ist, was wurde denn beim ersten gemacht? Wie wurde bereinigt?
Ich vermute es wurde nichts oder nicht vollständig bereinigt. Keine Seltenheit mangelt Fachwissens.
Du findest hie rein Liste kompetenter Partner, die bei Hacks helfen können:
https://www.fc-hosting.de/info/partner.php
Einige davon sind auch hier im Forum vertreten.
... unser Hoster hat unseren Server erneut vom Netz nehmen müssen, da über unsere Seite Phishing betrieben wird.
Nachfrage: Es geht aber doch um eure Joomla-Seite? Oder betreibt ihr gar einen eigenen Server?
Gibt es ein Backup von der Joomla-Seite, welches nicht ganz so alt ist? Dann könnte man dieses an sicherer Stelle analysieren bzw. die Inhalte gleich in ein aktuelles Joomla übernehmen.
Das kann schon sein, dass der Hack bereits in der Sicherung vorhanden ist. Es kann sich beispielsweise auch Schadcode in den DB-Tabellen und in Bildern befinden.
Wie gesagt, dass müsste sauber analysiert werden. Das betrifft auch Inhalte, die man in ein neues Joomla übernehmen könnte.
Wann ungefährt ist das Phishing-Problem denn erstmals aufgetreten?
Vielleicht wurden in der Vergangenheit grundlegende Sicherheitsregeln nicht beachtet? Die gilt es zudem herauszufinden, damit das nicht wieder passiert.
Ich würde bei der Sicherung ansetzen, in Verbindung mit der Auswertung der Log-Dateien und den Datumsangaben auf dem Webspace. Vielleicht liefert das Hinweise. Wahrscheinlich kann der Hoster auch weitere Infos liefern.
Ansonsten müsstet ihr euch professionelle Hilfe suchen oder ihr setzt Joomla einfach neu auf, sichert es ab, aktualisiert es immer zeitnah (auch seine Drittanbieter-Erweiterungen). Wie gesagt, bei der Übernahme der Inhalte ist ein wenig Vorsicht geboten.
Dennoch kann es natürlich sein, dass Joomla gar nicht das Problem ist.
Ich würde die Seite professionel bereinigen lassen oder komplett neu erstellen, wenn es nicht zu viel Auffand ist.
Wenn sie schon einem gehackt war, wurde bei der Bereinigung irgendwo ein Einfallstor übersehen.
Hatte ich bei einer älteren Kundenseite auch mal.
Na ja, Aufwand ist relativ. Für jemanden, der das täglich macht, ist so eine Site sicher schnell gezaubert, aber ich sitze da nebenberuflich schon länger dran 
flotte Danke für die Liste! Vielleicht habe ich Glück und jemand kann uns helfen.
Im Moment lösche ich gerade den kompletten Ordner mit der Joomla-Installation vom Server.
An dieser Stelle geht es öffentlich nicht mehr weiter.
Hört sich nach einem schwerwiegenden Problem an. Wenn ein Hack nicht "frisch" ist und früher schon übersehen wurde oder gar aus Backups wieder aktiviert wurde, ist eine Bereinigung nur sehr sehr schwer möglich. Eine ordentliche Untersuchung erfordert das aktuelle Logs und unveränderte Datumsstempel aller Dateien vorliegen und -ganz wichtig- ein zeitlich VOR dem Hack vorhandenes sauberes Backup und natürlich SSH-Zugriff und (oft vergessen) die FTP-Logs. Die Analyse soll in erster Linie den Zeitpunkt des Ersthacks feststellen und die Einbruchsstelle lokalisieren, damit man dann mit einem unverseuchten Backup alles bereinigen und die Lücken sofort fixen kann.
Eine Bereinigung eines verseuchten Joomla ohne diese Vorgehensweise bzw ohne Kenntnis des Ersthack-Zeitpunkts und die benutzte Sicherheitslücke betrachten wir als fast unmöglich. In jeder die zigtausenden Dateien kann irgndwo ein kleines Codeschnipsel liegen, welches als Backdoor dienst. Das zu finden ist wie mit der Nadel im Heuhaufen. Ich weiss das einige auch eine solche Bereinigung für möglich halten, aber davon halten wir gar nichts - es sei denn Zeit und Geld spielen keine Rolle. Dann lieber die Seite neu aufsetzen.
Im Moment lösche ich gerade den kompletten Ordner mit der Joomla-Installation vom Server.
Bedeutet neu aufsetzen?
Hast du noch ein altes Backup wo man sie die Seite anschauen kann?
ZitatWir sind ein gemeinnütziger Tierschutzverein
Schick mir mal den Link per PN. Würde mir das dann mal anschauen, falls noch nicht alles gelöscht. Backup vorhanden?
Schick mir mal den Link per PN. Würde mir das dann mal anschauen, falls noch nicht alles gelöscht. Backup vorhanden?
Du wilst nicht ernsthaft eine gehackte Website aufrufen??
Du wilst nicht ernsthaft eine gehackte Website aufrufen??
Elwood ist Magier - der kann das... 
Du wilst nicht ernsthaft eine gehackte Website aufrufen??
Ich betreibe zusätzlich einen alten Stand-Alone-Schleusen-PC für solche Fälle. Sonst wird mit dem PC nichts gemacht.
So kann ich gehackte Seiten mit einer sauberen Joomla-Version vergleichen und mich ein wenig in die Bereinigungsmaterie
reinprobieren.
Fremde Seiten bereinigen und wieder Online stellen mache ich nicht.
Wenn ich nicht mehr weiterkomme, bekommt die Festplatte ein sauberes Image aufgespielt,
und 'warte' dann auf die nächste Seite. 
Vielleicht lerne ich noch etwas.
Schick mir mal den Link per PN. (22.07.2020)
Kurze Rückinfo zum Problem:
Ich habe bis heute keine PN bekommen.
Thema für mich erledigt.
Ich weiß jetzt nicht mehr von wem ich folgenden Hinweis erhalten habe (dem Hinweisgeber gebührt ewiger Dank!), aber ein "Einfallstor", sofern man Akeeba benutzt, ist die kickstart.php Datei. Gerade weil man hier ungeschützt .zip-Dateien hochladen kann. Also nach aufspielen einer Sicherung sofort die kickstart.php löschen.
... aber ein "Einfallstor", sofern man Akeeba benutzt, ist die kickstart.php Datei. Gerade weil man hier ungeschützt .zip-Dateien hochladen kann. Also nach aufspielen einer Sicherung sofort die kickstart.php löschen.
Korrekt! Die kickstart.php könnte durchaus als "Einfallstor" missbraucht werden, wenn sie in einem Verzeichnis liegt.
Jedoch löscht kickstart.php am Ende der Webseiten-Einspielung sich selber und die Sprachdatei, damit genau das nicht passieren kann. Siehe Schritt 6: Restoration & Cleanup
Die Gefahr lauert in einer falschen Bedienung oder dem Hochladen der kickstart.php, ohne sie zu verwenden.
die kickstart.php und auch das Archiv müssen nach dem Setup sofort gelöscht werden. Normalerweise passiert das automatisch, aber manachmal machen die USer nicht den letzten Schritt oder es klappt aus anderen Gründen nicht (wwwrun-Problem).
Und ja, darüber wird gehackt und aktiv nach solchen Files gesucht (auch anderen Setups wie den Installer des Duplicators von Wordpress etc.pp.). Übrigens auch unser fc-PassReset und joom-config-Tool. User lassen das trotz eindeutiger Anweisungen einfach liegen.
Ich weiß jetzt nicht mehr von wem ich folgenden Hinweis erhalten habe (dem Hinweisgeber gebührt ewiger Dank!
Ich würde das in jedem Fall professionell überprüfen lassen.
Ich würde das in jedem Fall professionell überprüfen lassen.
Ähm, professionell überprüfen lassen ob eine bestimmte Datei auf dem Server liegt? Oder was verstehe ich da falsch? FTP-Programm an, Server auswählen, gucken und ggf. kickstarter.php löschen. Den Hinweis von flotte find ich gut.
