Schadcode sicher entfernen

Hallo zusammen,

ich habe bis vor kurzem auf meinem WebSpace noch eine alte Joomla 2.5 Installation in Betrieb gehabt. Da der Umstieg auf Joomla 3.8 immer mit unerklärlichen Problemen behaftet war und auch etliche Extensions nicht weiterentwickelt wurden habe ich es gemieden auf 3.x upzugraden (Ein großer Fehler wie ich jetzt erfahren musste...

Ich wurde von google angeschrieben, dass meine Webseite Schadcode verbreitet. Daraufhin habe ich ein Backup mit Akeeba gemacht und alle Dateien vom Webhoster gelöscht inkl. der Datenbank.

Nun musste ich feststellen, dass etliche php Dateien meiner anderen Joomla 3.8 Installation (ebenfalls auf dem selben Webspace gewesen) mit include Befehlen infiziert wurden... Darauf wurde ich von Strato hingewiesen. Der Webzugriff wurde seitens Strato nun gesperrt.

Meine Frage: Gibt es ein Tool, mit dem ich infizierte PHP Dateien aufspüren kann? Wie gehe ich jetzt am besten weiter vor?

Und die wichtigste Frage: Wie kann ich solche Angriffe in Zukunft selbst ausfindig machen?

Das habe ich mir schon fast gedacht... Ich bin auch schon drauf und dran es neu aufzusetzen...

Zitat von JoomlaWunder

Wie bereits geschrieben, es ist alles andere als trivial, einen Hack und dessen Ursache(n) zu beseitigen. Da sollte man sich schon gut mit auskennen. In dem Moment, wo du Dateien vom Webserver löscht, hilft dir beispielsweise das Datum der Dateien nicht mehr weiter bei der Ursachenforschung.

Nebenbei: Die wichtigste Frage sollte lauten: Was kann ich tun, um die Gefahr durch Hacks zu minimieren?

Nutzt du beispielsweise eine zusätzlichen administrator-Passwortschutz per .htaccess und .htpasswd oder ähnliches. Natürlich sollte man hier andere Zugangsdaten wählen, als für das Backend-Login.

Ist dein Rechner sauber?

Nutzt du immer aktuelle Versionen?

..... usw.

Alles anzeigen

den administrator Ordner habe (hatte) ich per htaccess geschützt. Ich vermute, dass die über das Kontaktformular von der Joomla 2.5 Installation eingedrungen sind. Dass mein iMac bzw. mein MacBook frei von Viren sind, kann ich mit Gewissheit sagen.

Zitat von firstlady

Als allererstes muss aber geklärt werden, wie ein Hack auf dein System kommen konnte. Angenommen, du macht jetzt alles neu und der Hack kam über deinen PC, dann besteht diese Lücke weiterhin und du würdest wieder gehackt.

Besteht denn die Möglichkeit Logs auszuwerten, die verraten könnten, wann welche Datei verändert wurde!?

Wie bereits geschrieben, glaube ich, dass die Leute nicht über den herkömmlichen Weg (/Administrator oder per FTP) eingedrungen sind, sondern eher über einen Dateiupload einen Code ausführen konnten..