@andy557 Wenn Du mit den Access Logs nichts anfangen kannst, schick mir die doch bitte mal durch, bevor das Rätselraten weiter geht.
Ich hab dir die mal per Email geschickt.
Beiträge von andy557
-
-
Hallo,
einen FTP Zugang zum Webspace gibt es nicht. Zum Hochladen der Dateien wird ein SSH-Zugang genutzt, dieser funktioniert nur mit Key und Passwort. Beides wurde natürlich auch schon ausgetauscht, aber hier habe ich die Einlogdaten geprüft, über SSH hat kein unbefugter Zugriff stattgefunden.
Das witzige daran ist: das Änderungsdatum der Template Dateien ist nicht das Datum an dem der Schadcode eingeschleust wurde. Das Änderungsdatum ist immer das Datum, an dem ich die Datei das letzte mal geändert habe. Danach bleibt die Datei auch ein paar Tage unverändert, dann ist plötzlich der Schadecode wieder drin, aber das Änderungsdatum der Datei hat sich nicht geändert. Kann das hier über die Funktion vom Joomla-Admin-Backend funktionieren, da kann man ja auch die Template Dateien ändern? Aber da müsste doch auch das Änderungsdatum der Datei geändert werden, wenn man auf diese Weise eine Datei auf dem Webspace ändert.
-
Ich hab die Coredateien komplett gelöscht, also die Verzeichnisse mit allen dateien darin und komplett neu aus dem aktuellen Joomla download neu eingespielt.
-
Hallo,
also bezüglich benachbarte Installation auf dem Webspace: nein, da ist keine andere Installation drauf. Passwörter habe ich natürlich auch geändert, sorry, hab ich vergessen zu erwähnen. Die Accesslogs habe ich mir allerdings noch nicht angeschaut.
Zitat von "j!-n"Woher weißt du denn, ob das Backup sauber war? Meistens enthält ein altes Backup mindestens die Sicherheitslücke, über die es irgendwann gehackt werden wird.
Da habe ich mich glaube ich wohl etwas falsch ausgedrückt. Ich habe jeweils die originaldateien wieder aufgespielt. Die Joomla Dateien aus dem download der aktuellen Version und die Dateien der beiden Komponenten aus den Originaldownloads der Komponenten.Weiss denn jemand um welche Art von Malware es sich hier handelt oder kennt eine Seite, oder den Namen des Viruses/der Malware so das ich da mal nach einer Lösung speziell dafür suchen kann? Ich hab bei einer google Suche mit teilen des Scriptcodes als Suchbegriff keinen wirklichen Erfolg gehabt... nur diese Seite hier: https://aw-snap.info/articles/malware-of-the-day.php in der das mal erwähnt wird und auch geschrieben wird, das man es wohl schnell wieder weg bekommt, aber nicht genau wie.
-
Hallo,
ich benötige noch einmal Eure Hilfe. Wie an andere Stelle wegen eines anderen Problems mal kurz erwähnt, wurde meine Joomla Webseite wohl gehackt. Der Hack besteht darin, dass in allen templates der Webseite (auch in den nicht-standard Templates) folgender Code in die index.php oder index.html Seite des Templates eingefügt wird:
firstlady: Schadcode entfernt, keine Werbung für Hacker
Die verlinkte Seite [..snip ..] ändert sich dabei jedesmal.
Welche Maßnahmen habe ich bisher unternommen? Ich habe zunächst einmal alle Dateien auf dem Server glöscht, Jooma in der aktuellesten Version 3.6.2 wieder aufgezogen (die Datenbank habe ich dabei nicht gelöscht). Dann ein Update der Datenbank auf die neuste Version gemacht. die Templates breinigt bzw. die Template originaldateien wieder aufgespielt. Wie an andere Stelle schon beschrieben habe ich 2 Komponenten behalten, das Jevent und die Phocagallery von der alten Version. aber auch hier habe ich alte Dateien wieder eingespielt, die noch aus einer sauberen sicherung stammten. Die bereinigungsaktionen haben aber leider nicht gebracht, nach ein paar Tagen ist der Code wieder in allen templates eingefügt.
Kann mir hier jemand weiterhelfen oder einen Tip geben?
Danke im Voraus.
viele Grüße
andy557
-
Ok, vielen Dank für die Hilfe und die wertvollen Hinweise. Ich habe nun die alten Komponenten Dateien geprüft und dann wieder in die neue Installation kopiert. Danke für den Hinweis kitepascal, es gibt da wirklich mehrere Orte wo die zugehörigen Dateien für die Komponenten liegen. Die habe ich nun alle aufgespürt und zurück gespielt. Funktioniert alles wieder und ist virenfrei.
Danke auch für den Hinweis, Christine. Habe ich mir schon gedacht, das eine Deinstallation auch die Datenbankeinträge löscht. Habe es wie oben beschrieben mit einem Rückspielen der alten Dateien geschafft, kann evlt. auch noch mal die aktuelle Version drüberinstallieren, aber ich denke das ist auch erstmal nicht nötig.
Also: Problem gelöst, danke für die schnelle Hilfe
-
Zumindest die Dateien in den kopierten Verzeichnissen habe ich stück für stück durchgeschaut, da ist kein Schadcode mit drin, die sind also gecheckt. Wenn ich die Eweiterungen lösche und neu installiere, dann bedeutet das, dass im Bilderalbum ca. 50 Bilderalben mit 300 Bildern alle neu angelegt und neu eingelesen werden müssen, weil nach der neuinstallation alle alten Daten verloren gegangen sind? oder Bleiben die Daten (Kategorien, Bilderalben usw.) bestehen?
-
Hallo
Das ist eine ziemlich unorthodoxe Art
. Warum hast du das Update nicht ganz normal durchgeführt?Weil die Joomla Installation irgendwie kompromitiert war, Maleware hatte sich eingeschleusst und ständig die templates geändert. Also habe ich alle Dateien austauschen müssen, weil ich das verursachende Skript nicht gefunden habe. Daher alle Joomal Dateien neu, sowie die original Template Dateien eingespielt. Die Datenbank und drei Komponenten sind alles, was noch von der infizierten Version übrig ist.
-
Hallo zusammen.
Ich habe eine kurze Frage zu einem Joomla Update, das ich manuell durchgeführt habe. Ich habe alle Joomla Dateien in einen Ordner weggesichert und anschliessend ein neues Joomla Komplettpaket aufgespielt (vorher war Joomla 3.6.0 installiert). Anschliessend habe ich alle Komponenten, die ich zusätzlich installiert hatte (z.B. Phoca Bildergaliere) wieder aus dem alten Ordner components in den neuen Ordner components verschoben. Danach habe ich im Backend das Datenbankupdate für die neue Version gemacht. Das System ist jetzt aktuell und läuft. Allerdings funktionieren die Zusatzkomponenten nicht mehr. Diese werden zwar im Backend im Menü unter Erweiterungen angezeigt, aber beim Aufruf bekomme ich einen 404 Fehler.... Dateien nicht vorhanden. Habe ich hier etwas übersehen, muss außer dem Komponentenordner in "components" noch weitere Dateien vom alten in das neue System übernehmen?
Danke schon mal im Voraus für Eure Hilfe.
