Homepage gehackt

  • Hallo.
    Ich habe eine gut besuchte Modellbahnhomepage seit Mai 2004. Im letzten Monat wurde die Homepage mehrfach von Hacker angegriffen, so dass die Firma auf deren Server die Homepage abgelegt ist, den Zugriff mehrfach sperren musste. Das wurde mehrmals gemacht, auch nachdem mein Webmaster die Originaldateien darüber kopiert hat.
    Mein Webmaster der sich in Joomla nicht so gut auskennt, hat die Webseite in eine statische Seite umgewandelt und den Administratorbreich deaktiviert. Seit dem kann man die Homepage mit all' ihren Informationen sehen. Ich aber, der alle Berichte dieser Hp gechrieben habe, kann nun nicht mehr Ergänzungen etc. mehr vornehmen, weil ich keinen Zgriff mehr habe.
    Die Serverfirma rät mir nun, ich bin kein Software- oder PC-Spezialist, den FTP komplett zu leeren und ein Backup im Joomla vor dem 15. Dezember 2015 durchzuführen. Die Webseite wäre dann von dererlei Angriffen geschützt, weil Joomla angeblich eine Schwachstelle in ihrem System festgestellt hat.
    Kann mir Jemand diese Vorgehensweise erklären, oder einen Tipp geben?
    MfG
    Mantari

  • Ob du wirklich aufgrund der Lücke die letzten Dezember gefunden wurde gehackt wurdest, kann man auf die Ferne nicht sagen. Es ist aber sehr wahrscheinlich. Deshalb ist der Tipp mit dem Back von Dezember vielleicht nicht schlecht.


    Auf alle Fälle würde ich danach Flottes Liste durcharbeiten: https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php


    Und ganz wichtig, in Zukunft zeitnah Sicherheitsupdates machen. Hier findest du weiter unten den Link Automatic Email Notification.


    Für alle die das Video noch nicht kennen und gerne mehr über die Sicherheitslücke wüssten, auf dem JoomlaDay 2016 wurde das meiner Meinung nach gut nachvollziehbar erklärt:

  • Mantari da hat dein Hoster recht. Wobei sich die Frage hier stellt, ob deine Sicherung von davor überhaupt sauber ist. Viele Seiten sind gehackt und der Hack bleibt ewig unentdeckt. Es fällt erst dann auf, wenn der Hack ausgenutzt/aufgerufen wird. Daher empfehle ich wenn Du wirklich keine Ahnung hast, die Sicherung von wem mit Ahnung prüfen zu lassen. Oder noch besser das Dateisystem komplet ersetzen zu lassen. Das Dürfte dann auch das eventuelle Problem beseitigen und Kosten minimieren.

  • Hallo Astrid,
    ich kann erst heute antworten. Werden mit dem FTP-Entleeren alle Beiträge gelöscht, oder werden sie nur irgendwo Zwischengelagert und später wieder aufgerufen?
    Ich danke euch für die Anworten, die ich an meinem Webmaster weiterleiten werde.
    VG
    Mantari

  • Werden mit dem FTP-Entleeren


    Ich bin mir nicht sicher, was dein Hoster mit FTP-Entleeren meint. Wahrscheinlich meint er aber, dass du alles löschen sollst. Also Alle Dateien und Verzeichnisse und die Datenbank.
    Einspielen sollst du dann ein Backup aus der Zeit vor dem 15. Dezember.


    Die Beiträge nach dem 15. Dezember wären dann nicht mehr vorhanden. Die müsstest du neu hinzufügen.


    Bist du sicher, dass du ein Backup kurz vor dem 15. Dezember erstellt hast? Hat dein Hoster das vielleicht gemacht?

  • Zitat

    Die Beiträge nach dem 15. Dezember wären dann nicht mehr vorhanden. Die müsstest du neu hinzufügen.


    Es kann die alte Datenbank angebunden werden, wenn das Backup vollständig aktualisiert/auf die Versionsstände der gehackten Seite gebracht ist.
    Die etwas aufwändigere, aber ähnliche Vorgehensweise des Neuaufbaus ist hier beschrieben.


    Auf jeden Fall erstmal ein Backup der Datenbank und des gehackten Dateisystem herunterladen (später für Vergleichszwecke interessant), bevor alles gelöscht wird.


    Wenn die neuen Bilder übertragen werden bitte keine evtl. eingeschleusten *.php Dateien mitkopieren.
    Die Datenbank (#__content, #__modules Tabellen) lohnt es sich noch auf <script und <iframe injections zu prüfen.


    Mit einem Backup zu arbeiten ist immer ein Risiko, wenn sich Einbruchsstelle und -zeitpunkt nicht genau feststellen lassen.
    Dein Hoster weiß aber offenbar recht gut Bescheid und wird auch in der Lage sein seine Logdateien zu lesen - daher solltet ihr mit dem Backup Glück haben.


    Gruß


    Pascal

  • Hallo,
    alle Berichte der Homepage sind mit meinem PC geschrieben worden, der immer die aktuelle Norton Security Sicherheitssoftware hat. D.h. also, dass die Berichte sauber sein müssten. Was ich wahrscheinlich übersehen habe ist, dass ich nicht die von Joomla gemeldeten neueren Software Updates beachtet habe. Ich vermute nach euren Angaben, dass die Hacker somit die alte fehlerhafte Joomla Software genutzt haben.
    Ist meine Vermutung stimmig ?
    VG
    Mantari

  • Ich vermute nach euren Angaben, dass die Hacker somit die alte fehlerhafte Joomla Software genutzt haben.
    Ist meine Vermutung stimmig ?
    VG
    Mantari


    Mit 100 % iger Sicherheit. Welche Updates wurden denn agezeigt? Bzw, mit welcher Version warst Du unterwegs? Welche Extensions wurden verwendet? Waren diese Aktuell? All diese Sachen musst Du beachten, um das Einfallstor zu ermittel, oder ermitteln lassen.