Astroid-Framework Hackerangriff

    Joomla Version
    5.x.x
    PHP Version
    PHP 8.0.x
    Hoster
    Strato

    Hallo an alle,

    Asche auf mein Haupt. Meine Vereinshomepage ist leider Opfer des Astroid-Framework-Hackerangriffs geworden. Ja ich weiß, selbst schuld. Hätte mich früher um die Homepage kümmern müsssen.

    Nun bin ich an der Schadensbegrenzung:
    Im Moment lösche ich die Homepage einmal komplett. Leider habe ich nur ein Sicherheitsupdate vom 15.03.26 oder eines vom letzten Jahr, bei dem aber viele Sachen dann fehlen.

    Das Sicherheitsupdate vom 15.03. scheint noch nicht infiziert zu sein, aber sicher bin ich mir nicht. Bin leider auch nur Learning-by-doing und weiß nicht so recht wie ich da nachschauen kann. Wie kann ich erkennen, ob die Homepage da schon infiziert war?

    Wie kann ich an der Datenbank erkennen, wo schädliche Sachen sind? Oder muss ich die Homepage kompletlt neu aufsetzten? Kann ich dann zumindest die Artikel, die Phoca-Gallerie und die Benutzer retten?

    Ich glaube ich sehe vor lauter Wald die Bäume nicht mehr. Kann mir jemand Licht ins Dunkel bringen?

  • Zur hilfreichsten Antwort springen
    Zitat von Rabea74

    Nun bin ich an der Schadensbegrenzung:
    Im Moment lösche ich die Homepage einmal komplett.

    Hast du sie bereits gelöscht. Ich würde die komplette Webseite (Frontend & Backend) zunächst über einen zusätzlichen Passwortschutz (.htaccess / .htpasswd) sperren und mir dann das Datum der Dateien und Verzeichnisse anschauen. Dieses gibt einen ersten wichtigen Hinweis darauf, ob eine Seite gehackt wurde. Sobald du sie gelöscht hast, ist dies nicht mehr möglich.

    Bei der einen Seite bin ich dabei. Die war aber auch so betroffen, dass es glaube ich einfacher war, das so zu tun. Da war in fast allen Verzeichnissen Dateien drin, die da nicht hingehören. Und es war bei fast allen das gleiche Änderungsdatum dagestanden.

    Bei der anderen Vereinsseite bin ich gerade am Schauen. Da ist es nicht so offensichtlich. Nur bekomme ich beim Versuch, das Framework upzudaten auf 3_3_12 oder 13 eine Fehlermeldung. Also denke ich, dass sie auch betroffen ist.

    Mache das nur ehrenamtlich und bis jetzt hatte ich wenige Probleme und nun das.

    Sind beide Webseiten im selben Webspace ?

    Zitat von Rabea74

    ...Und es war bei fast allen das gleiche Änderungsdatum dagestanden...

    Welches ?

    Siehe auch die Links in den Anleitungen:

    und die Infos und Links dort:

    Thema

    Astroid Framework Angriffswelle

    SICHERHEITSWARNUNG – Nutzer von Astroid Framework: Schaltet eure Websites JETZT mithilfe einer .htaccess-Datei oder einer anderen Schutzmaßnahme auf Serverebene ab.

    Derzeit gibt es eine Angriffswelle, die auf Websites mit Astroid Framework abzielt. Der Angriff installiert eine Hintertür, ein System-Plugin namens plg_system_blpayload. Wenn ihr dieses Plugin auf eurer Website findet, wurde diehre Website gehackt und ihr müsst eine saubere Sicherung wiederherstellen, die aus der Zeit vor der…
    SniperSister
    4. März 2026 um 17:35

    Bei der gehackten Webseite ist es so gut wie unmöglich zu sagen, worin genau der Hack besteht bzw. was alles betroffen ist. Das können z.B. geänderte oder neue Dateien sein, aber auch Datenbanktabellen. Somit kann auch der Inhalt betroffen sein. Selbst Bilder sind nicht ausgeschlossen.
    Da hilft wirklich nur ein Backup von vor dem Hack einzuspielen. Deshalb regelmäßig immer eigene Backups anfertigen. Dafür gibt es so tolle Tools wie AkeebaBackup, mit denen das ganz einfach ist. Die Backups dann auch immer vom Server runterladen und auf dem eigenen Rechner, Stick oder wo auch immer aufbewahren!

    Melden musst du das nirgends!
    Hat denn der Hoster die Seite gesperrt oder hast du es selber gemerkt?

    Ob deine Sicherung vom 15.03. betroffen ist, kann man höchtens nach genauer Analyse und entsprechenden Kenntnissen einschätzen.

    Zitat von Rabea74

    Aber jetzt noch mal die Frage: Kann ich die Datenbank irgendwie retten oder zumindest Teile davon?

    Rein theoretisch kann man den Inhalt (z.B. Beiträge) über phpmyadmin aus Datenbanken herauskopieren und in eine neue Joomla-Version übernehmen. Man muss den Inhalt dann aber wirklich komplett durchschauen, um auf der sicheren Seite zu sein. Das kann sehr aufwendig sein.
    Zunächst einmal könntest du auch die gesamte Datenbank exportieren, um sie zu sichern.

    Ist doch im 2. Link #4 alles beschrieben. Dort steht genau was man tun muss.

    Die Datenbank alleine reicht nicht aus. Es muss Schritt für Schritt die ganze Installation bereinigt werden.

    Entweder ein Backup vor dem 22.02.2026 wiederherstellen und sofort mit htaccess PW Schutz versehen (danach Astroid Update oder umgekehrt, ist egal) bzw. wenn es kein backup gibt, nach Anleitung vorgehen und manuell bereinigen.

    Der Datenschutzbeauftragte hätte bereits mit fehlen des zusätzlcihen Passwortschutzes im Dreieck springen sollen ;)