Ich kann Dir sagen das die Datei mit Sicherheit nix mit Joomla zu tun hat. Liest sich eher nach Wordpress
Willkommen im Forum Stefan.
1. Wenn deine Website wirklich gehackt wurde sind höchstwahrscheinlich noch weit mehr Dateien verseucht.
Daher:
2.
Mein Joomla wurde gehackt! Was kann ich tun?
3. Wenn deine ./cli/wp-SysManager.php zum Joomla-Core-3.6.2 gehören würde wäre sie dort auch zu finden:
https://github.com/joomla/joomla-cms/tree/3.6.2/cli
4.
Zur weiteren Untersuchung der Datei wp-SysManager.php kannst du diese auch einfach in wp-SysManager.txt umbenennen.
Dadurch ist diese Datei nicht mehr "ausführbar" und somit unschädlich aber kann trotzdem noch untersucht werden sofern erforderlich.
.... jetzt warte ich die 2. Prüfung durch Strato ab.....
Du musst dich auch um deine Webseite kümmern. Wenn sie gehackt sein sollte, musst du sie auf jedenfall erstmal vom Netz nehmen:
https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php
Dann bereinigen (lassen) oder sauberes Backup einspielen oder neu aufsetzen.
Strato wird da nichts bereinigen oder neu machen.
Hatte noch nie eine gehackte Seite (bei Strato), könnte aber sein, dass Strato eventuell die Domain mit dem Schadcode irgendwann sperren könnte.
Welchen Joomla-Versionsstand hat deine Seite?
ich habe sie mal entfernt, da sie im original-Joomla nicht in diesem besagten */cli - Ordner befindet.
jetzt warte ich die 2. Prüfung durch Strato ab.....
Hast du schon mal eine echte Grippe gehabt mit hohem Fieber ?
Da nutzt es etwa genausoviel 3 einzelne Viren bei einer echten Grippe mit Fieber zu töten wie das was du im Moment mit deiner Website machst !
Läuft noch mehr als die Joomla Installation auf dem Webspace?
Auf jeden Fall solltest du im Strato Kundenbereich unter Sicherheit -> SiteGuard das Logging von Zugriffen aktivieren (dynamische, Cache Verzeichnisse ggf. ausschließen).
So bekommst du weitere Bewegungen im Dateisystem direkt mit und kannst entspr. reagieren.
Gruß
Pascal
Die JS Injection kannst du einfach löschen.
Wenn du die übrigen Hinterlassenschaften/Backdoors nicht vollständig entfernt hast, wird die jedoch wieder drin landen.
Hab am Wochenende einen Hack bearbeitet, da gab es die wp-SysManager.php (FilesMan Webshell) ebenfalls.
Zudem noch knapp 25 weitere Schaddateien.
Durchsuche mal alle Dateien nach $GLOBALS[
um einen ersten Eindruck zu bekommen.
Gruß
Pascal
Das alleine wird nicht helfen, da sich ein Script in deiner Installation befindet, welches diesen Schadcode in jegliche Datei schreiben kann. Solange du das nicht gefunden hast (es würde mich nicht wundern, wenn es das einzige Script dieser Art ist), ist deine Seite weiterhin kompromitierbar. Nur eine Frage der Zeit, bis Dateien wieder gehackt werden.
Ich hatte den Schrott auch erst vor lurzen, selbst eine 4 Monate alte Sicherung war sofort wieder infiziert.
Es hilft meist nur komplett löschen und neu aufbauen.
Bislang ist es mir immer gelungen, eine infizierte Installation zu bereinigen, und da gibt es leider keine 08/15 Anleitung für, da jeder Hack anders ist, bzw Schadcode nicht immer an denselben Stellen zu finden ist. Das macht es ja so relativ aufwändig.
Danke Pascal, habe die JS-Injection aus dem Template index.php herausgelöscht.
Und du meinst tatsächlich das reicht?
Ist wenigstens die Seite vom Netz genommen oder ist Deine Rechtschutz so gut, um Schäden bei Dritten (also Deinen Besuchern) durch beispielsweise Ransomware oder andere Trojaner, die Deine Seite eventuell verteilt, abzudecken?
