virus meldung von Hoster

clon · 28. Januar 2016

Hallo

ich habe heute virus meldung von Hoster erhalten .ich habe es gelesen konnte damit aber nichts damit anfangen
könnt ihr mir bitte helfen und sagen was es ist oder was sein kann

ich muss dazu noch sagen
Meine pc ist vor 2 wochen formatiert worden,Habe auch KIS 2016 instaliert,ich habe mich seitdem bestimmt per ftp nicht eingelogt
und heute habe ich mail von all-inkl erhalten

fpge ich unten ein

Code

Bei einem routinemäßigen Virenscan wurden in Ihrem Account w0136b94 (w0136b94) Dateien mit Schadcode gefunden. Um die Besucher Ihrer Webseite zu schützen, haben wir diese Dateien nach Möglichkeit umbenannt und gesperrt. Die Liste der Dateien finden Sie in Ihrem FTP-Account unter: /www/htdocs/xxxxxxx/logs/viren_log_2016_01_28.html






05:55:34 php_xplt_kt_05.UNOFFICIAL gefunden in /www/htdocs/xxxxxxx/test-xxxxxxxx.de/administrator/includes/defines.php (chown: xxxxxxxxx| last change: 2016-01-27 13:42:48.914744319 +0100 | last mod.: 2015-12-30 16:39:37.000000000 +0100 | chmod: 644) umbenannt in: /www/htdocs/xxxxxx/test-xxxxxx.de/administrator/includes/VIRUS_php_xplt_kt_05.UNOFFICIAL_defines.php (chmod: 200)


05:55:34 php_xplt_kt_05.UNOFFICIAL gefunden in /www/htdocs/xxxxxxxxx/xxxxxxxxx.de/includes/defines.php (chown: w0136b94.w0136b94 | last change: 2016-01-27 13:42:49.106740713 +0100 | last mod.: 2015-12-30 16:39:38.000000000 +0100 | chmod: 644) umbenannt in: /www/htdocs/xxxxxx/test-xxxxx.de/includes/VIRUS_php_xplt_kt_05.UNOFFICIAL_defines.php (chmod: 200)

Alles anzeigen

skodi · 28. Januar 2016

Hi clon,

deine Webseite wurde gehackt.

Der Zeitstempel der Datei sagt: 2015-12-30 - 16:39 Uhr.

Wie eine Seite gehackt werden kann, da gibt es viele Möglichkeiten.

Da es erst kürzlich eine schwere Lücke in Joomla gab, ist die wahrscheinlichste Alternative, dass dein Joomla nicht aktuell war - und diese Sicherheitslücke ausgenutzt wurde.

Den Schadcode der eingefügt wurde kannst du dir anschauen, wenn du diese Datei mit einem Editor öffnest: includes/VIRUS_php_xplt_kt_05.UNOFFICIAL_defines.php<

Was nun zu tun ist, kann man hier nachlesen: https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

Hast du ein Backup der Seite, dass evtl. schon etwas älter ist?

Falls nein, mal beim Hoster nachfragen ob die eines zur Verfügung stellen können.

clon · 28. Januar 2016

Hallo
die betroffende dateien wurden vom hoster umbenannt und gespert

ich habe die gelöscht und neu eingespielt
dann update durchgeführt zu joomla 3.4.8
ist es damit weg oder musss ich vom Hoster Älteren backup einspielen lassen

kitepascal · 28. Januar 2016

Die Backup Wiederherstellung ist nötig, wenn du dauerhaft Ruhe haben willst und die Angleichung an den aktuellen Stand vertretbar im Aufwand ist. Schildere dem Support am besten kurz den Fall und frag welche Backup Stände (Dateien + Datenbank) sie dir vor dem 14.12. zur Verfügung stellen können.
In kürzester Zeit solltest du Antwort haben und kannst wählen welche Sicherung wiederhergestellt bzw. auf dem Webspace abgelegt werden soll.

I.d.R. legt all-inkl die Backups als Archive ins Root Verzeichnis.

Bevor du das Backup (lokal entpackt) wieder hochlädst, solltest du das gesamte Joomla Verzeichnis passwortschützen.
Im KAS unter Tools -> Verzeichnisschutz. Ansonsten könnte es sein, dass die Seite ruckzuck wieder gehackt wird, wenn nicht in Windeseile auf 3.4.8 aktualisiert wird.

Es sollte vermieden werden mehrere Seiten in einem Account zu führen. Sicher voneinander trennen lassen sich die Seiten über Unteraccounts.