Dieser Code kommt an meiner Website...
";} /*B6D1B1EE*/ ?>
";} /*aef3787c*/ ?>
";} /*aef3787c*/ ?>
jemand eine Idee was das ist ?
Dieser Code kommt an meiner Website...
";} /*B6D1B1EE*/ ?>
";} /*aef3787c*/ ?>
";} /*aef3787c*/ ?>
jemand eine Idee was das ist ?
Bisschen dürftig, deine Informationen. Gerade die Überschrift ist nicht aussagekräftig!
Wann und wo erscheint das? Beim Aufrufen der Domain? Welche Joomlaversion?
Ich tippe mal auf einen Hack deiner Seite.
Dann flottes Liste unbedingt abarbeiten:
Das gleiche Symptom hatte neulich jemand in der J! Facebook Gruppe - die Seite wurde gehackt.
Wirf mal einen Blick in die Access Logs der letzten Wochen/Monate und vergleiche den aktuellen Stand des Dateisystems per WinMerge mit einem Backup.
Ein ganzes Verzeichnis mit (unkomprimierten) Logs kannst du bspw. per Notepad++ durchsuchen.
STRG+F -> In Dateien suchen
Suchen nach: ^(?!.*?index).*POST.*php.*200
Filter: *
Suchmodus: Reguläre Ausdrücke
Damit bekommst du alle erfolgreichen POSTs auf PHP Dateien gelistet unter Ausschluss der index.phps (i.d.R. nicht bösartig).
Müsste dann in etwa so ausehen - die meisten davon sind eingeschleuste & vom Angreifer genutzte Schaddateien:
Die index.phps der Templates und die im Root solltest du manuell überprüfen. ...";} /*B6D1B1EE*/ ?> steht z.B. in den index.phps der Templates. Dass das auf der Seite sichtbar ist, ist Missgeschick des Hackers. Eigentlich sind die bestrebt, dass eine Kompromittierung nicht auffällt.
Gewiss wird es auch bis dato ungenutzte Backdoors geben, die so natürlich nicht sichtbar werden - da Bedarf es einer rekursiven Suche nach den Schadcodemustern, die du den bisherigen Funden entnehmen kannst.
Was sehr hilfreich ist, ist ein Monitoring nach einem Hack. Die Admintools Prof. haben einen PHP File Change Scanner.
Nutzen kannst du auch
https://joomla-extensions.kubi…s-joomla-checksum-scanner
http://extensions.joomla.org/extension/eyesite
..oder div. standalone Lösungen.
Gruß
Pascal
Mit 100% Sicherheit gehackt. Sofort offline nehmen - nicht nur offline schalten, sondern komplett unzugänglich machen. FTP-Account ändern und dann die Analyse starten. Anleitungen dazu gibt es ja genug.