Moin!
Ich habe eine Seite mit J4 neu erstellt und von der alten Seite (3.10.11, .htaccess-Passwortschutz),
die Phoca-Galerie importiert.
Bei der Überprüfung wurde mir dann in verschiedenen Ordnern Schadcode angezeigt:
Upload der Bilder war nur duch den Super User möglich.
Nur zur Info.
Da auch in Bildergalerien Schadcode implementiert werden kann.
Danke für die Info Elwood.
Wie genau hast Du die Phoca Galerie importiert bzw. welche/wie die Überprüfung gemacht?
Werde Jan informieren. Mehr kann ich jetzt gar nicht wissen/sagen.
Liebe Grüße
Christine
Ich habe J4 neu installiert und PG installiert.
Dann habe ich den Ordner mit den Bildern /images/phocagallery/
von J3 nach J4 per FTP kopiert.
Die aktuelle J3 habe ich z.Zt. bei einem anderen Hoster installiert, da er noch PHP 7.4 supportet.
(Bin auch kurz vor der Vollendung).
Bei Hoster 1, wo 7.4 nicht mehr unterstützt wird, habe ich die Domain auf die 8 umgeleitet.
Allerdings war wohl schon vorher der Schadcode implementiert.
Bei der J4-offline habe ich alle Bildordner überprüft, Schadcode entfernt und nochmal getestet.
Dort sollte jetzt alles sauber sein.
Außer der PG-Images habe ich ja alles neu installiert.
Ob jetzt die PG das Problem ist/war kann ich nicht beurteilen.
Ich muss dazu sagen, dass es noch andere Dateien betroffen hat.
Hier mal der Screeshot des Hosters, der die Seite dann gesperrt hat:
Da ich die DB und den Webspace komplett gelöscht habe, wurde die Domain wieder freigegeben.
Werde das aber weiter untersuchen/verfolgen.
Hallo,
bei Schadcode ist nicht so wichtig wo er ist, sondern wie er da hingekommen ist. Wenn beispielsweise jemand Deine FTP-Zugangsdaten erhält und irgendwo schädlichen Code hochlädt, spielt es keine Rolle, in welchem Ordner der Code gespeichert ist. Wichtig ist, wie er dorthin gelangt ist, um einen weiteren Angriff zu verhindern. Das ist die primäre Aufgabe.
Wenn ein Dieb etwas aus Deinem Wohnzimmer stiehlt, ist wahrscheinlich nicht das Wohnzimmer schuld, sondern die Tatsache, dass der Dieb die Schlüssel zur Wohnung erbeutet hat. Dich interessiert also nicht primär das Wohnzimmer, sondern wie der Dieb an die Wohnungsschlüssel gekommen ist und als erstes wirst Du wahrscheinlich die Schlüssel wechseln.
In unserem konkreten Fall ist es ratsam, den Pfad herauszufinden, auf dem der Angreifer den Schadcode geschrieben hat, und alle notwendigen Maßnahmen zu ergreifen, um dies zu verhindern (z. B. alle Passwörter ändern usw.).
Jan
...Hier mal der Screeshot des Hosters, der die Seite dann gesperrt hat:...
Gibt es ein bestimmtes Programm, wo man selber auf dem Server nach Schadcode suchen kann ? Sollte man dies auch selber und regelmässig tun, oder einfach auf den Hoster vertrauen ?
nein es gibt keine Tools, die alle Schadcode-Files finden.
Ich habe es auch noch nie erlebt, das Schadcodefiles nur in einem Ordner liegen. Quasi immer gab es weitere versteckte Backdoors.
Es gibt kaum eine echte Chance auf eine wirklich sichere Bereinigung eines gehackten Webs. Denn dazu müsste man tatsächlich in JEDE Datei schauen und jede Codezeile prüfen. Eine Backdoor kann aus nur einer Zeile PHP-Code bestehen,
Wie Jan oben schon schrieb ist das wichtigste herauszufinden, wie es zu dem Hack kam und die Lücke zu finden die benutzt wurde. Der zeitlich Ersthack muss ermittelt werden, dann kann man mit einem zeitlich davor liegenden Backup das Web vollständig ersetzen und doe Lücke(n) schließen.
Hier ein paar Infos wegen Bilder:
RE: Schadcode in Bildern und Texten? ab #5
Und hier: https://www.fc-hosting.de/supp…ehackte-website-hilfe.php
Liebe Grüße
Christine
Ich bin diese Woche auf Dienstreise.
Werde am WE mal die Backups testen.
Erstmal Danke für eure Antworten! 
