Seite gehackt - wir finden das Einfallstor nicht

reni

Hallo Forum,

seit einigen Tagen kämpfen wir mit unserer Seite und sehr unangenehmen Effekten.

Es wird Schad-Code in die index.php im Template-Ordner geschrieben, so dass sich beim Aufruf unserer Seite Popup-Banner mit pornografischem Inhalt öffnen.

Immer wieder wird sie überschreiben bzw. Inhalt eingefügt und wir wissen nicht, wie es passiert

Wenn wir die Datei bereinigen ist wieder 'ne Weile Ruhe. Irgendwann wird sie wieder überschrieben bzw. editiert.

Wer hat Ideen, wo ich od. der Hoster suchen kann?

EDIT: installiert ist Joomla! 3.10.12 mit PHP Version 8.0.29

kitepascal

Hallo Reni,

befindet sich nur die Joomla Instanz auf dem Webspace?

Du könntest mal in die Access Logs (der letzten 14 Tage) schauen.

https://www.hosteurope.de/faq/webhosting/webhosting-logfiles/welche-logfiles-werden-gespeichert/

- habe vor einigen Jahren ein Tool gebastelt, das bei der Auswertung hilft - Zugriffe auf Backdoors u. ä. hervorhebt.

Was du noch machen kannst/solltest:

- das /administrator Verzeichnis mit einem .htaccess/.htpasswd Passwortschutz versehen.

- die Site mit https://mysites.guru/ nach Schadcode scannen.

- eine security hardening Haupt-.htaccess Datei nutzen ( von Admintools Pro oder https://www.joomla-security.de/dateien-verzei…cess-datei.html )

- https / SSL für die gesamte Site erzwingen in der Joomla Konfiguration.

Gruß

Pascal

reni

Zitat von kitepascal

befindet sich nur die Joomla Instanz auf dem Webspace?

Hallo Pascal,

ich vermute nein.

Zitat von kitepascal

Du könntest mal in die Access Logs (der letzten 14 Tage) schauen.
https://www.hosteurope.de/faq/webhosting…en-gespeichert/
- habe vor einigen Jahren ein Tool gebastelt, das bei der Auswertung hilft - Zugriffe auf Backdoors u. ä. hervorhebt.

Diese Logfiles befinden sich vermutlich auf dem Server? Ich hab nur Zugriff auf die Joomla-Installation ansich, aber unserem Hoster schon den Link zu diesem Thread gesendet.

Auch das /administrator Verzeichnis mittels .htaccess/.htpasswd sollte er wenn möglich machen.

Vielen Dank schon mal für deine Tipps

JoomlaWunder

Und auch die FTP-Zugangsdaten ändern! Des Weiteren das FTP-Programm auf Aktualität überprüfen und auch den Rechner auf Schadcode überprüfen, auf dem das installiert ist.

kitepascal

Zitat von reni

Diese Logfiles befinden sich vermutlich auf dem Server? Ich hab nur Zugriff auf die Joomla-Installation ansich, aber unserem Hoster schon den Link zu diesem Thread gesendet.
Auch das /administrator Verzeichnis mittels .htaccess/.htpasswd sollte er wenn möglich machen.

Die Logfiles findest du im KIS (Host Europe Hostingverwaltung) und dort lässt sich auch ein /administrator Verzeichnisschutz einrichten.

Zugriffsschutz und Benutzergruppen | Host Europe

Erfahren Sie, wie Sie einen Zugriffsschutz oder Benutzergruppen für Ihren Webauftritt einrichten können.

www.hosteurope.de

reni

Zitat von JoomlaWunder

Und auch die FTP-Zugangsdaten ändern! Des Weiteren das FTP-Programm auf Aktualität überprüfen

Das geb ich so weiter.

Zitat von JoomlaWunder

und auch den Rechner auf Schadcode überprüfen, auf dem das installiert ist.

Dies wurde wohl schon gemacht.

Aber Danke für die Anregungen!

Elwood

Bitte noch den Link zur Seite aus der Signatur nehmen!

reni

Zitat von Elwood

Bitte noch den Link zur Seite aus der Signatur nehmen!

Hab ich noch gemacht.

hechtnetz

Zitat von reni

Wenn wir die Datei bereinigen ist wieder 'ne Weile Ruhe.

Weil die Backdoor wahrscheinlich irgendwoanders im Webspace liegt. Wenn Du (wie ich) zu denen gehörst, die sowas nicht aus den Logfiles ermitteln kannst würde ich einen Dienstleister nehmen, der das klären kann. Ist allemal billiger als Schadenersatzforderungen zu begleichen. Hier im Forum gibt es genug Leute, die das können.

Eine gehackte Seite gehört aus dem Netz genommen.

reni

Zitat von hechtnetz

würde ich einen Dienstleister nehmen

Haben wir gemacht und sind jetzt guter Dinge

Noch etwas warten, ob es sich bewahrheitet - aber ich denke positiv