Schadcode in index.php

  • Hallo und guten Abend,
    ich betreibe eine Joomlaseite die bei Alfahosting liegt.
    Alfahosting hat mir nun eine Mail gesendet, dass die index.php von einem Schadcode befallen ist. Das ist ja n super Service wie ich finde, jedoch habe ich leider keine Ahnung davon und gucke in die Datei wie n Schwein ins Uhrwerk.
    Meine Frage ist nun, kann sich das jemand von euch mal angucken und mir sagen wo das Problem genau liegt? (Würde die dann als Anhang mal hochladen oder so)


    Gruß
    Martin

  • Hallo Martin,


    vermutlich wurde deine Seite gehackt, wenn dich der Hoster schon darauf aufmerksam macht.


    Mit dem Schadcode in der index.php wird es wohl nicht gewesen sein. Es könnten noch mehr Dateien betroffen sein.
    Welche Joomla-Version hast du als letztes gehabt bzw. wann hast du dein letztes Update gefahren?


    Hast du noch eine alte funktionierende Backup-Version?


    Ansonsten musst du wohl deine Seite bereinigen lassen.


    Gibt genug Anbieter hier und da draußen ;)

  • Hallo Elwood,
    ja das dachte ich mir auch schon, leider bin ich eben nur nicht bewandert genug.
    Ich habe viele Komponenten installiert und deinstalliert damals als ich die Seite erstellt habe.
    Es ist noch Joomla 2.5 drauf soll aber n Update bekommen, Problem hierbei ist, dass ich mich damit auch noch schwer tue und mir eine Komponente fehlen würde die extrem wichtig ist für die Seite. Naja, ich will jetzt erstmal nicht so ins Detail gehen.
    Das Frontend funktioniert ohne Probleme, nur komme ich ins Backend nicht mehr rein, weil die index.php serverseitig gesperrt ist.
    Wie kann ich denn die Seite genau bereinigen? Gibts da Programme, Anbieter o.Ä. welche Du empfehlen kannst?

  • Vielen Dank, Eumel!
    Die Anleitung sieht gut aus und ist auch für mich verständlich.
    Werde mich morgen mal drum kümmern.
    Eine Frage beschäftigt mich dann jedoch noch. Kann ich irgendwie herausbekommen welche Komponente betroffen war?
    Nicht das ich die wieder installiere.

  • Also wenn du noch J2.5 hast und die Seite nicht zu umfangreich ist,
    würde ich die Seite mit J3.4.8 neu aufsetzen und die Daten der alten Seite
    mit Copy und Paste übertragen.


    Vorher die alte DB löschen und auch per FTP die alte Installation löschen.
    Dann bist du auf der sicheren Seite und hast eine saubere, sichere Installation.


    EDIT: Bezogen auf die alte Installation: Wenn du nicht mehr ins BE kommst ist das schwierig.


    Hast du noch FTP-Zugriff auf die Seite?

  • Patch nachträglich auf eine gehackte Seite? Das würde ich keinesfalls empfehlen.
    Entweder zuerst eine Bereinigung der Seite und dann Upgrade + Patch oder gleich einen Neuafbau der Seite und die Inhalte aus der alten Datenbank per J2XML oder per copy/paste übernehmen, wie Elwoood schon geschrieben hat. Das sind zwei langweilig Stunden aber dann ist es ein sauberer Stand.


  • Eine Frage beschäftigt mich dann jedoch noch. Kann ich irgendwie herausbekommen welche Komponente betroffen war? .


    • Schau Dir das Änderungsdatum der index.php an.
    • Besorge Dir die Webserver-Zugriffs-Logs
    • Suche im Log nach Zeilen mit Inhalt "POST"
      Beispielsweise erzeugt ein Login auch ein POST
    • Wenn Du um das Änderungsdatum der index.php POSTs findest und diese seltsam aussehen, dann hast Du evt den Übeltäter.


    Hier mal ein älteres Beispiel von 2012, wo der Imagemanager des JCE angegriffen wurde.


    Code
    1. 69.175.xx.xx - - [08/Jun/2012:02:51:35 +0200] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.1" 200 69 www.xxxxxx.com "-" "BOT/0.1 (BOT for JCE)" "-"
  • Patch nachträglich auf eine gehackte Seite? Das würde ich keinesfalls empfehlen.
    Entweder zuerst eine Bereinigung der Seite und dann Upgrade + Patch oder gleich einen Neuafbau der Seite und die Inhalte aus der alten Datenbank per J2XML oder per copy/paste übernehmen, wie Elwoood schon geschrieben hat. Das sind zwei langweilig Stunden aber dann ist es ein sauberer Stand.



    So ist es. Lass es Dir bereinigen wenn Du es selber nicht hinbekommst. Spart Zeit und Ärger.