Weißer Bildschirm nach potenzieller Malware

  • Joomla Version
    ?
    PHP Version
    PHP 7.4.x
    Hoster
    Strato

    Strato hat auf unserer Website "http://www.werkmann-gruppe.de" 2 potenziell gefährliche Dateien entdeckt und den ganzen Webspace gesperrt. Nachdem ich die beiden Dateien entfernt hatte, wurde entsperrt, aber seitdem ist die oben genannte Website weiß und zeigt nur "error".

    Die Strato-Hotline eiert nur rum. Auf deren Wunsch habe ich die beiden Dateien wieder hochgeladen, die weiße Seite bleibt. :huh:

    Aus einem Beitrag hier habe ich eine "info.php" hochgeladen. Bei "core" steht "display-errors: off"

    Ich weiß aber leider nichts damit anzufangen.

    Vielleicht kennt sich jemand von Euch damit aus

    Die Website stand kurz vor einem Relaunch und wurde darum lange nicht mehr gepflegt. Nichts desto trotz muss sie jetzt erst mal schnell wieder online gehen.

    Wäre toll, wenn jemand helfen könnte.

  • Die Strato Hotline hatte den Verdacht, dass es sich gar nicht um Malware handelt, und hat mich daher angewiesen, die betroffenen Dateien wieder aufzuspielen. Was mich stutzig gemacht hat: Das Änderungsdatum war von 2016.

    Was dafür spricht: Seitdem die beiden Dateien wieder online sind, ist das Abuse-Team von Strato nicht wieder aktiv geworden.

  • Der serverseitige Check wird nicht permanent sondern nach festgelegten Zeitplänen durchgeführt. So kann es auch etwas dauern. Dabei werden aber auch Dateien als gefährlich eingestuft, die z.B. ausführende Elemente enthalten. (exe mal als bekanntes Beispiel genannt, selbst wenn die Datei als Zip im Web liegt). Dies muss kein Hack sein, sondern kann ja auch von dir oder einem deiner User hochgeladen worden sein. Wenn diese Dateien im Upload erlaubt sind, kann man ja dagegen etwas unternehmen und zukünftig sperren.

    Hast du denn kein eigenes Backup erstellt, was wieder eingespielt werden kann (z.B. mit Akeeba Backup)?

    Frag doch bei Strato nach, ob er noch ein Backup von VZ und DB hat, die vor dem Ereignis erstellt wurden. dann lass dies wieder restoren. Ich glaube auch gehört zu haben,dass Strato regelmäßig Backups erstellt , du darauf Zugriff hast und diese selbst wieder herstellen kannst.

    Völlig daneben ist es aber dennoch, wenn der Hoster kein funktionierendes Backup wieder hersetellen kann. Hier würde ich erneut mit Strato sprechen und auf eine funktionierende Wiederherstellung bestehen. Einen Versuch ist es allemal wert.

  • Scheint sich ja wohl um eine völlig veraltete Joomla 3.9.8 mit derzeit PHP 7.4.33 zu handeln:

    http://www.werkmann-gruppe.de/administrator/manifests/files/joomla.xml

    Diese uralte Joomla-Version sollte man keinesfalls mehr öffentlich zugänglich halten.

    Falls es sich bei den beiden Dateien um Joomla-Core-Dateien handel kannst du die Inhalte dieser Dateien z.B. mit den Core-Dateien vergleichen bzw. ersetzen:

    github.com/joomla/joomla-cms/tree/3.9.8

    Schön das du uns weder die betreffenden beiden Dateien mit Dateipfad nennst, noch deren Inhalt mitteilst. Da brauchen wir also diesbezüglich gar nicht zu helfen.

  • Ich weiß ja nicht, was passiert und/oder gemacht wurde.

    Oder ob gehackt oder nicht.

    Aber ein 'Error' deutet sehr oft auf falsche Angaben zur Datenbank hin.

    Das solltest du nochmal prüfen:

    Code
    public $db = '';
    public $host = '';
    public $password = '';
    public $user = '';

    Diese Angaben mal mit den DB-Zugangsdaten bei Strato vergleichen.