Joomla gehackt ?

    Hallo,


    eine gute Bekannte hat mich gestern angerufen und gefragt ob ich sowas schon gesehen habe, wenn sie bei google eingibt Wedding Catering das ist Ihre Seite erscheint unter Ihr wedding Catering Planer für Berlin und Brandenburg der Vermerk "Diese webseite wurde möglicher Weise gehackt" sie ist ratlos, ich auch, sie hat mir die FTP-Daten gegeben und ich habe nachgesehen und das steht da:

    dieses Datum 11.12.2016 macht mich stutzig das steht auch in meiner Seite


    wedding catering liegt bei Strato und meine Seite bei Goneo, was ist das wurden beide Seiten gehackt, ich habe da keine Ahnung, was soll sie jetzt mchen.


    Gruß Brigitte

    Hallo Chris,


    Danke, warum steht dann in den beiden verschiedenen Seiten das gleiche Datum der 11.12.2016 als zuletzt geändert, mit Sicherheit weiß ich, daß ich nichts geändert habe und wedding-catering auch nicht.


    Gruß Brigitte

    So auf Anhieb kann ich auch nichts finden. Scanner scheinen nicht "anzuschlagen".
    Auf jeden Fall könnte zum besseren Hack-Schutz beigetragen werden, in dem das administrator-Verzeichnis mit einem zusätzlichen Passwort geschützt wird.
    Ist womöglich der wichtigste Schutz. Fehlt auf beiden Webseiten.


    EDIT: Auch bei mir steht auf allen Seiten das gleiche Datum: 11.12.2016. Keine Panik!

    Zitat von DHB12

    warum steht dann in den beiden verschiedenen Seiten das gleiche Datum der 11.12.2016 als zuletzt geändert, mit Sicherheit weiß ich, daß ich nichts geändert habe und wedding-catering auch nicht.


    Hab bei mir nachgesehen. Auch ich habe das Datum vom 11.12.2016. Wahrscheinlich deshalb:


    Am 14.12.2016 wurde: Joomla 3.6.5 Sicherheitsupdate rausgegeben. Joomla 3.6.5 Sicherheitsupdate Bei jedem Core-update wird auch in die index.php reingeschrieben (wenn 644).


    (Bei 444 käme ja eine Fehlermeldung). Also dürfte zwischen J 3.6.4 und J 3.6.5 eben die index.php vom 11.12.2016 gelten. Das index.php Datum bleibt davon unberührt (wenn keine Änderung). So sehe ich das halt.


    Bezüglich der Warnung, würde ich mich an Chris wenden bzw. das durchchecken etc. lassen.


    Liebe Grüße, Christine

    Zum Datum 11.12.


    Ich bin zwar nur ein Laie aber das ist ja wohl eigentlich Grundlagenwissen:


    Schaut euch doch einfach mal die Orginal-Dateien an und vergleicht diese mit den Dateien eurer Website.
    Alle releases:


    https://github.com/joomla/joomla-cms/releases/
    per Next kommt man auch zu den älteren oder


    Die 3.6.5 genau dort:


    https://github.com/joomla/joomla-cms/releases/tag/3.6.5


    wenn man sich nun z.B. die ZIP: Update from Joomla! 3.6.x herunterlädt :
    https://github.com/joomla/joom…-Stable-Patch_Package.zip
    und diese zip öffnet sieht man das Datum und Uhrzeit der Dateien:
    11.12.2016 20:51


    Stunde kann auf eurem Server anders sein wegen Zeitzonen aber die Minuten müßten stimmen.


    Es sei denn der Webserver ist anderst konfiguriert und zeigt euch an,
    an welchem Datum und Uhrzeit die Dateien tatsächlich "geändert" bzw. "gespeichert" wurden.



    Außerdem sieht man auch dort:
    https://github.com/joomla/joomla-cms/tree/3.6.5


    das:
    AlexRed committed with wilsonge Set correct default values for user creation in the backend also in t… Latest commit 6a169d9 on 11 Dec 2016


    was zwar nichts sicheres zum richtigen Datum aussagt aber ein erstes "Anzeichen" ist.



    Zur Google-Meldung "Diese Website wurde möglicherweise gehackt"


    Siehe im Spoiler die Hinweise von Google:



    Danke, ich dachte an diese brutal rote Seite welche direkt vor eine gehackte Seite geschaltet wird.
    Wahrscheinlich ist der Unterschied das sich Google bei dem einen nicht ganz sicher und bei dem anderen ganz sicher ist.


    Gruße