Server wurde gehackt, Webseiten laufen aber es gibt trotzdem noch Probleme. Wer kann helfen?

  • Moin!


    Mein Server (Goneo) wurde vor rund 3 Monaten gehackt. Daraufhin wurden alle Seiten auf andere Seiten (z.B. Poronoseiten) verlinkt.
    Insgesamt habe ich ca. 10 verschiedene Webseiten auf dem Server.
    Ich habe dann alle PW geändert, schädliche Dateien gelöscht und vieles andere mehr ...
    Nun habe ich aber immer noch folgende Probleme und weiß leider nicht weiter:


    1.
    Auf einer Domain wird täglich mehrmals automatisch eine family.php generiert. Wenn ich diese Datei lösche ist alles in Ordnung. Warte ich zu lange wird eine htaccess Datei erstellt und dann werden die Webseiten auf andere Seiten (z.B. Pornoseiten) verlinkt.
    Die htaccess Datei wird erst in der einen Domain generiert und dann automatisch in die anderen Vereichnisse sowie ins Hauptverzeichnis (Root?).


    2.
    Auf dem Handy können alle Webseiten wieder normal geladen werden. Mit Ausnahme der einen Webseite, auf der die family.php automatisch generiert wird.
    Hier gibt es immer noch eine Verlinkung auf dem Handy zu irgendwelchen Pornoseiten.
    Auf dem Rechner, Laptop, Tablet etc. läuft die Seite einwandfrei.


    Hat jemand einen Tipp für mich, was ich tun kann?


    Danke und Gruß.

  • Die entsprechende Domain solltest du sofort still legen, um weiteren Schaden zu vermeiden. Dann siehst du auch, ob die anderen Webseiten auf dem Server hackfrei sind und bleiben. Könnte natürlich auch von "fremden" Webseiten auf dem Server kommen. Dass eine htaccess generiert wird, geht gar nicht.


    Die befallene Webseite muss richtig bereinigt werden. Das sollte man nicht auf dem Server machen. Da gibt es zudem mehrere Möglichkeiten. Allerdings sollte man sich damit auskennen. Ansonsten jemanden damit beauftragen. Die Ursache muss gefunden werden. Immer nur generierte Dateien löschen, bringt dich da nicht weiter.
    Gewisse Grundlagen kann man aber selber realisieren, z.B. zusätzlicher Administrator-Passwortschutz, immer ein aktuelles Joomla und aktuelle Erweiterungen.....
    Oftmals wird auch nicht an den eigenen Rechner gedacht, der befallen sein kann bzw. das FTP-Programm Probleme bereitet.

  • Als erstes möchte ich mich schon mal für Eure Antworten bedanken.
    Wahrscheinlich fehlt mir tatsächlich dafür zu viel Hintergrundwissen - ich weiß eigentlich gar nicht, wo ich bzw. wie ich jetzt weitermachen soll.
    Der Link zur Webseite ... wurde aus Sicherheitsgründen entfernt ...
    Vielleicht könnt Ihr ja das Problem reproduzieren - auf einem Rechner läuft die Seite einwandfrei.
    Auf einem Smartphone wird zu Pornoseiten verlinkt.
    Wonach muss im ggf. beim Template suchen? Wobei ich das auch bei anderen Seiten eingesetzt habe.
    Ich vermute Ihr haltet mich für doof - *lach* - aber mit sooo was wurde ich bisher nicht konfrontiert.
    Danke und Gruß

  • es scheint so als hättest du die Infos und Links nicht richtig gelesen...
    Erstmal die Seiten vom Netz nehmen. Der Seitenbetreiber haftet für Schäden!
    Dann über die Google Suche nach "Joomla Seite gehackt" suchen.


    Wenn du dir schon zugestehst das dass nicht dein Ding ist, dann musst du einen Profi beauftragen.


    Es macht hier wenig Sinn nur nach Schadcode zu suchen, es muss auch die Tür gefunden werden, wie der Code auf der Seite landet!


    Welche Joomla Version ist denn im Einsatz? Wurden auch immer alle Updates zeitnah installiert?

  • Moin,


    hilft dir zwar nicht mehr, auch wenn der Server gehackt wurde:


    Aber deine Joomla-Version ist 3.7.2. Da hast du einige wichtige Updates verpasst.



    Admin/Mods: Vielleicht die Links zur Domain wieder rausnehmen. EDIT: Danke!



    Ich empfehle dir auch professionelle Hilfe oder den Webspace und die DB komplett löschen und die Seite neu aufsetzen.


    Backup einspielen? Man weiß nicht, wann der erste Befall war. Ich würde es nicht machen.

  • Besonders doof, wenn man auf der Blacklist der Suchmaschinen landet, dann ist das gute Ranking erst einmal hin.


    Reparieren geht natürlich, wenn man ausreichend Backups hat und die Seite sehr groß ist, dass man sie nicht einfach so neu schreiben kann. Es gibt Merge-Programme, mit dem man Dateien vergleichen und so die Unterschiede finden kann. Wenn die Seite nicht oft geändert wurde, hat man eine kleine Chance, braucht dazu aber etwas Ahnung und viel Geduld - und am Ende kann man sich trotzdem nicht 100%ig sicher sein, dass da nicht noch irgendwas versteckt ist.


    Neu Aufsetzen ist aber die wirkliche Lösung. Wie Elwood schon schrieb.


    Ansonsten würde ich wahrscheinlich die Seite erstmal auf einen anderen Ordner schieben - dass User da nicht herankommen und Seite für Seite die Inhalte übertragen. Dazu die Texte möglichst nur im Textbrowser in einen Texteditor als Zwischenstation speichern. Dann runter von der Seite, den eigenen Rechner checken, ob der durch den Besuch infiziert ist und vom Editor auf die neue Seite, der macht daraus ja reinen Text ...

    Wenn auf dem Server mehrere Seiten (auf verschiedenen Domains) in verschiedenen Ordnern sind - alle sofort sichern - wirklich alle Passwörter austauschen und ggf. alle CMS-Dateien bis auf die Overrides mit Originaldateien überschreiben und sich die paar Overridedateien genauer ansehen - sicher ist man dann auch nicht wirklich, gute Hacker bauen sofort individuelle Backdoors, die man z.B. mit Antivirenprogrammen ( Online: Virustotal.com etc.) nur sehr schwer finden kann ...


    Ich sichere die Inhalte meistens nach dem Erstellen nochmal zusätzlich mit WinHTTrack.

  • Ohne Analyse der Vorgänge wirst Du den Server oder die Webs nicht bereinigt bekommen. Die Daten woanders hinzukopieren zerstört ggf. die Zeitstempel und erschwert die Analyse. Besser ist es alle Zugänge zu sperren: Webserver, FTP-Server und was es sosnt noch so gibt.
    Dann mit dem entsprechenden Fachwissen, die Logfiles und Dateien analysieren. Das geht nur wirklich zielführend mit einem SSH-Zugang. Alles andere ist Gefrickel.


    Du schreibst das der Server gehackt wurde? Stimmt das das? Oder meinst Du das "nur" die Websites gehackt wurden? In Fall des Serverhacks mach sofort(!) die ganze Maschine platt.
    Im Fall von Website-Hacks stellt sich die Frage, ob alle Webs in einem gemeinsamen Hostingaccount liegen oder in getrennten Accounts die gegenseitig abgeschottet sind? Falls letzeres zutrifft, ist ein FTP-Hack nicht unwahrscheinlich, sofern Du alle FTP-Zugänge selbst verwaltest. Falls das auch nicht zutrifft, such nach Gemeinsamkeiten (gleiche Erweiterungen?) und versuche damit einen Start der Analyse hinzubekommen.


    Ich vermute aber ganz stark, das eine Analyse nicht mehr möglich ist, weil Du selbst schreibst:

    Zitat

    ...vor rund 3 Monaten gehackt... ...schädliche Dateien gelöscht und vieles andere mehr .


    Ganz sicher ist, das keine vollumfängliche Anaylse gemacht wurde, denn sonst wären die noch bestehenden Backdoors entdeckt worden, die jetzt noch benutzt werden. Weil schon so viel verändert wurde und der Zeitrahmen schon so alt ist, kann ich Dir nur eines raten:
    Lösche alle Webs! Du wirst es nicht schaffen. Eventuell(!) könnte ein Profi noch was reissen, aber selbst das halte ich für gewaagt in dieser Situation so lange nach einem Hack. Vielleicht wird eine der Backdoors, über die aktuell gerade gehakt wird gefunden, aber andere werden übersehen. Dann fängt das Spiel in Kürze wieder neu an. Ganz ehrlich: Ich würde so einem Auftrag ablehnen.
    Auf jeden Fall die FTP-Logs prüfen, auch wenn alle Webs gelöscht werden.


    Mach lokale Kopien, um lokal an Inhalte ranzukommen, damit die Seiten neu aufgebaut werden können.
    Benutze keine einzige Datei aus den alten Webs, die nicht inhaltlich(!) geprüft wurde. Auch Bilddateien.
    Ich weiss das ist frustrierend, aber im Zeitalter der Ransomwareverbreitung würde ich es nicht riskieren das sich ggf. ganze Netzwerke an Deinen Webs verseuchen und Du dann Schadensersatz bevorsteht. Du WEISST die Webs sind gehackt, also handle jetzt richtig.