Joomla gehackt mit .shtml-Datei?

Elwood

Moin!

Ich supporte gerade eine Website.

Dabei sind mir im /root von Joomla über 50 .shtml-Dateien aufgefallen:

Sie beginnen mit:

und enden mit:

Die Suchmaschine sagt mir, ja, es gibt solche Dateien:

Server Side Includes im Hosting-Paket nutzen | STRATO

Server Side Includes (SSI) sind bei STRATO bereits ab dem Paket Hosting Starter implementiert. Hier erfahren Sie, wie Sie SSI gezielt einsetzen.

www.strato.de

Aber sie werden auch mit einem Hack in Verbindung gebracht (ich gege davon erstmal aus).

Kann mir mal jemand (menschliches) etwas dazu sagen?

Ich habe solche Dateien noch nie gesehen.

Vielen Dank!

kitepascal

Ja, das sieht eindeutig nach einer kompromittierten Installation mit .shtml/SSI-Droppern aus.
Der enthaltene #exec-Befehl dekodiert Base64-Code und schreibt daraus eine PHP-Datei - typisch für das Nachladen einer Webshell/Backdoor.

Ich würde daher nicht nur die .shtml-Dateien löschen, sondern auch nach den erzeugten .php-Dateien suchen, alle .htaccess-Dateien prüfen - bestenfalls ein Backup wiederherstellen bzw. Joomla samt Erweiterungen/Templates gegen saubere Originaldateien ersetzen.

Kurz: als vollständigen Hack behandeln.

Läuft da Astroid, Tassos oder keins von beiden?

Stef

Zitat von kitepascal

Läuft da Astroid, Tassos oder keins von beiden?

Würde mich auch interessieren.

Elwood

Kurze Rückmeldung:

Es ist eine Astroid-Seite, wo es keinen Backend-Verzeichnisschutz gab.

Er ist jetzt eingerichtet und TE setzt die Seite neu auf.

flotte

Wie haben solche Hacks nun auch entdeckt. Offenbar eine neue Masche... die SSI-Scripte wollen eine Webshell einrichten. Das wird allerdings unter den meisten sinnvoll konfigurierten Webservern scheitern.
Dennoch ist dies keine Entwarnung, denn so ein Account ist auf jeden Fall bereits kompromittiert, sonst könnte der Angreifer keine shtml-Files ablegen.

Stef

Zitat von flotte

Wie haben solche Hacks nun auch entdeckt. Offenbar eine neue Masche... die SSI-Scripte wollen eine Webshell einrichten. Das wird allerdings unter den meisten sinnvoll konfigurierten Webservern scheitern.
Dennoch ist dies keine Entwarnung, denn so ein Account ist auf jeden Fall bereits kompromittiert, sonst könnte der Angreifer keine shtml-Files ablegen.

Ein Backend-Verzeichnisschutz sollte genügen.

flotte

Zitat von Stef

Ein Backend-Verzeichnisschutz sollte genügen.

Nein, das macht hier in Bezug zu SSI keinen Sinn. Das verhindert keine SSI-Befehle.
Ich vermute Du meinst den Backendschuz als allgemeine Sicherheitsmaßnahme. Das unterstütze ich zu 100%

Stef

Zitat von flotte

Nein, das macht hier in Bezug zu SSI keinen Sinn. Das verhindert keine SSI-Befehle.

Und was soll man genau machen, um SSI-Befehle zu vermeiden? Hast du einen konkreten Tipp?

flotte

Kann man als Hoster global deaktivieren oder wenn man selbst root ist (Modul "include" deaktivieren).
Als normaler User sollte dies auch in der .htaccess gehen:

Options -Includes -ExecCGI
Eventuell auch nur -IncludesNOEXEC um den gefährlichen exec-Befehl zu blockieren. Es gibt ja auch sinnvolle Anwendungen mit SSI

Alles etwas anhängig von der Serverkonfig

flotte

Jetzt wurde ein Fall, wo die Ursache nun erkannt wurde.

Pascal hat es bereits dokumentiert:

Joomla security vulnerability in the Tassos Framework / Novarain Framework

Kritische Joomla-Sicherheitslücke im Tassos bzw. Novarain Framework: So prüfst du, ob deine Website betroffen ist, und handelst richtig.

website-bereinigung.de

Sieger66

und Ursache bereits seit Januar/Februar 2026 bekannt:

Tassos Framework angreifbar

https://www.tassos.gr/blog/company/s…-patch-released

Elwood

Zitat von flotte

Jetzt wurde ein Fall, wo die Ursache nun erkannt wurde.
Pascal hat es bereits dokumentiert:
https://website-bereinigung.de/en/blog/joomla…cherheitsluecke

So ist es. Ich habe mir die Seite aus #1 nochmal genauer angeschaut.

Gefunden habe ich das Tasso Framework 5.0.74 aus 2016

Kann man also davon ausgehen, das die Dateien darüber installiert wurden.