Angriff auf Ihren IONOS Vertrag

  • Hallo,

    mir wurde folgende Mail zugetragen.

    "Sehr geehrte/r Frau S,
    hiermit erhalten Sie eine dringende Nachricht zu Ihrem IONOS Vertrag.
    Vor wenigen Minuten hat unser Anti-Viren-Scanner erkannt, dass eine schädliche Datei auf Ihren Webspace geladen wurde.
    Die Datei finden Sie auf Ihrem Webspace unter folgendem Pfad:


    ~/xxxx/plugins/editors-xtd/pagebreak/pagebreak-cron.php

    Um Sie vor gefährlichen Hacker-Angriffen zu schützen, überprüft unser Anti-Viren-Scanner jede Datei auf Ihrem Webspace, die verändert oder neu abgelegt wurde. Werden Anzeichen eines Angriffs erkannt, wird das Ausführen der Datei unterbunden, um gefährliche Folgen abzuwehren. Dazu werden die Dateirechte automatisch geändert, damit ein Aufruf der Datei nicht mehr möglich ist.

    Hier finden Sie unsere Analyseergebnisse.

    Damit Ihre Webseite wieder wie gewohnt funktioniert müssen Sie nach erfolgter Bereinigung die Dateirechte wieder auf 604 ändern.

    Folgende Dateien wurden aller Wahrscheinlichkeit nach von Dritten hochgeladen.

    Bitte überpruefen Sie diese Dateien und löschen Sie diese gegebenenfalls.

    ~/../../../../../../../../../homepages/16/d781564xxx/htdocs/xxxxx/plugins/editors-xtd/pagebreak/pagebreak-cron.php

    ~/../../../../../../../../../homepages/16/d781564xxx/htdocs/xxxxx/libraries/fof40/Params/Params-results.php

    ~/xxxxx/libraries/fof40/Params/Params-results.php

    Folgende Dateien wurden aller Wahrscheinlichkeit nach von Dritten modifiziert.

    Bitte überpruefen Sie diese Dateien und laden Sie diese gegebenenfalls aus einem nicht infizierten Backup erneut auf Ihren Webspace.

    ~/../../../../../../../../../homepages/16/d781564xxx/htdocs/xxxxx/plugins/editors-xtd/pagebreak/pagebreak-cron.php

    ~/../../../../../../../../../homepages/16/d781564xxx/htdocs/xxxxx/5udpdb.php

    ~/xxxxx/5udpdb.php

    ~/../../../../../../../../../homepages/16/d781564xxx/htdocs/xxxxx/includes/framework-response.php

    ~/xxxxx/plugins/editors-xtd/pagebreak/pagebreak-cron.php

    ~/xxxxx/includes/framework-response.php

    ~/../../../../../../../../../homepages/16/d781564xxx/htdocs/xxxxx/libraries/fof40/Cli/Joomla3-private.php

    ~/xxxxx/libraries/f0f/database/driver-extract.php

    ~/xxxxx/libraries/fof40/Cli/Joomla3-private.php

    ~/../../../../../../../../../homepages/16/d781564xxx/htdocs/xxxxx/libraries/f0f/database/driver-extract.php"

    Weiß jemand woher "editors-xtd" kommt bzw. wie man das behebt?

    Grüße

  • Die Ursache für das Problem sollte unbedingt behoben werden.

    Zunächst sollte man alle Passwörter ändern und vieles mehr! Siehe #2!

    Ich nehme an, dass das administrator-Verzeichnis mit einem zusätzlichen Passwortschutz über den Server (.htaccess und .htpasswd) abgesichert ist (wichtigster Grundschutz) und das Joomla und alle Drittanbieter-Erweiterungen aktuell sind.

    Gleiches gilt für FileZilla oder ähnliche Programme auf dem eigenen Rechner.

    Hast du dir das Datum dieser Dateien einmal angeschaut? Es könnte sinnvoll sein, ein Backup einzuspielen, welches vorher angelegt wurde.

  • Ich habe jetzt mal JCE deinstalliert und die besagten Dateien gelöscht.

    Warum hast Du den JCE gelöscht? editors-xtd gehört zu Joomla, nicht zum JCE.
    Du solltest Dein System vom Profi bereinigen lassen. Siehe dazu den Link zu den Dienstleistern oben im Forum.

  • Viele vergessen dabei, dass sich solche Lücken bereits über Jahre nach und nach eingewanzt haben können. Unbemerkt. Und sich dann ständig vermehren und "Mutationen" bilden. Das können FTP-Zugänge sein, htaccess-Dateien, unsichere Dateien und Erweiterungen, sogar Datenbank, falsche Einstellungen, scheinbare Bild-Dateien, saudumme Leicht-Zu-Merken-Passwörter usw. usf. Kurz: alles und überall! Und Betonung auf "über Jahre".

    Und es reicht, dass nur 1x irgendwann in den vielen Jahren ein kleines Lücklein für ein paar Stunden vorhanden war. Und schlaue Hacker agieren im Hintergrund und wollen gar nicht allzu sehr auffallen. Selbst aus den Logs wirst du meist nicht mehr herausfinden, wer der erste war, weil es die Logs meist gar nicht mehr gibt.

    Und nach dem ersten Hack-Upload brauchts das Joomla selbst und Erweiterungen gar nicht mehr unmittelbar, damit Hacks funktionieren. Sind dann lediglich noch temporäre Helferleins.

    Das vergessen die meisten bei ihren Bereinigungen (mal eben was löschen, deinstallieren usw.). Und, weil ich gerade eine solche Seite relaunche: Die Virenscanner der Provider finden längst nicht alles! Und der Scanner von dem einen findet Sachen nicht, die der des anderen findet. Und der Windows-Scanner findet dann noch ein paar mehr und der nächste tut so, als wäre gar nix los.

    Will nur sagen: Höre auf die Vorredner und glaube nicht, dass du mit geringen oder gar keinen Erfahrungen diese mittlerweile dutzenden Hacks auf deiner Seite dauerhaft weg bekommst. Heißt nicht umsonst Viren. Sie vermehren sich, mutieren und schwächen das System, so, dass auch noch ein paar bakterielle Infekte leichteres Spiel haben. So ungefähr ;)

    Und, wenn du die Seite neu aufsetzt, vergesse nicht, jeden Ordner, z.B. /images/, den du vielleicht 1:1 übernehmen willst, zu prüfen, ob nicht irgendwelche Nicht-Bild-Dateien drinnen sind etc. pp. Und selbst da gibt es Varianten, dass eine unscheinbare Bilddatei ein Mithelfer sein kann.

    Und setze deine Seite nicht im selben Webspace neu auf, wenn nicht zuvor alles radikal gelöscht wurde, wie es bei oben erwähnter Seite z.B. der Fall war. Da lagen wegen solcher verzweifelten Bemühungen über mindestens 3 Jahre 4 infizierte Joomla-Installationen im Webspace, die die Hacks voneinander "geerbt" hatten. Trotzdem solltest du zuvor eine Sicherung der infizierten Seite inkl. Datenbank gemacht haben und sauber beschriftet eine zeitlang aufheben. Aber bloß nicht per FTP dateiweise auf deinen Rechner kopieren!