Joomla Webseite gehackt

[LuckyStrike]

eine meiner Seiten wurde gehackt. leider sogar mit einer Umleitung auf eine gefährliche Seite, daher poste ich den Link nicht
was nun tun?
war noch nicht fertig, habe kein Backup, kann ich dennoch etwas sichern?
datenbank ist ja denke ich noch okay...
Joomla nochmal drüber installieren?

Lucky

wow ziemlich frech und viel gehackt.
komplette Indexes geändert, sogar im Admin Bereich.

trotz htaccess

wie verhindert man so was?

 

[GrafiKman]

AW: Joomla Webseite gehackt

In wie fern gehackt was wurde denn genau gemacht?

 

[ImpY]

AW: Joomla Webseite gehackt

Wenn du noch ins "Kontrollzentrum" kommst, solltest du deine Passwörter ändern und ebenso die Zugangsdaten deiner MySQL-Datenbank. Damit ein weiterer Zugriff von außen erstmal nicht möglich ist. Musst dann natürlich auch die Zugangsdaten in Joomla ändern.

 

[LuckyStrike]

AW: Joomla Webseite gehackt

ich komme gar nicht mehr rein, bekomme sofort einen Error
auf die Adminseite (administrator/) ist sogar eine weiterleitung zu einer passwortklau-seite verlinkt.

 

[GrafiKman]

AW: Joomla Webseite gehackt

lad dir mal die admin/index-seite vom server und guge ob die noch ok ist, wenn nicht dann die einfach mal ersetzen

 

[p_p66]

AW: Joomla Webseite gehackt

Falls Du die FTP Funktionalität genutzt hast, musst Du da auch das Passwort ändern.

Aus Sicherheitsgründen würde ich da ganz von vorne anfangen und vorher versuchen die Backdoor zu finden.

 

[DJ Fotoart]

AW: Joomla Webseite gehackt

Hallo Lucky

datenbank ist ja denke ich noch okay...

Was denkst du wo Joomla die Passwörter speichert?

Joomla nochmal drüber installieren?

Damit löst du das Problem nicht. Nebenbei kannst du nicht sicher sein wo und wie der Angreifer reingekommen ist. Die Möglichkeit das nach dem "drüberbügeln" das Loch noch vorhanden ist, ist zu groß.

wie verhindert man so was?

In dem man rausfindet wie er reingekommen ist.

Welche Joomla Version nutzt du?
Welche Erweiterungen hast du installiert?

An sich kannst du nur noch hingehen und die Datenbank löschen, sämtliche Daten vom Server entfernen und alles komplett neu anlegen. Sonstige Experimente und vermeintliche Rettungstips sind für den Popo ohne das die Lücke bekannt ist.

Serverlogs dürften interessant sein. Schau dort mal nach wie was wann und wo gemacht wurde, falls du an die Logdateien ran kommst.

Und gewöhn dir an eine aktuelle Version unter Xampp am laufen zu haben, wenn auch nur zum testen und basteln. So hast du wenigstens ein halbwegs brauchbares/aktuelles Backup das du einspielen kannst.

 

[LuckyStrike]

AW: Joomla Webseite gehackt

okay.
mache ihn gerade platt...

warum aber darf ich die datenbank nicht mehr benutzen?

darf ich mir denn eine sicherung der datenbank in die neue einspielen?

 

[DJ Fotoart]

AW: Joomla Webseite gehackt

darf ich mir denn eine sicherung der datenbank in die neue einspielen?

Wenn die Sicherung aus einer Zeit vpr dem Hack stammt, ja, ansonsten lass es. Du kannst nicht nachvollziehen was da alles geändert wurde.

Unter XAMPP auf deinem Rechner kannst du das aber gerne mal machen und schauen ob du noch was retten kannst. Zumindest die Texte ect. lassen sich so retten, da du sie nur kopieren brauchst.

 

[j_c_l]

AW: Joomla Webseite gehackt

Hi,

wenn ein Hacker im System war, dann hilt nur, alles platt zu machen. Man wird nie alle Backdoors finden, die der Hacker eingebaut haben kann.

Der Spruch stammt nicht von mir sondern von einer CERT (DFN-CERT: Überblick DFN-CERT)
Schulung. War Dein Joolma aktuell? Es was in den letzten Wochen ein Sicherheitsloch bekannt geworden - und es gab eine neue Version.

 

[underwood]

AW: Joomla Webseite gehackt

Hi LuckyStrike,

Bahamut und j_c_l sprachen es schon an, es wär nun echt interessant welche Joomla Version und welche Komponenten, Module und Plugins du eingespielt hattest.

warum aber darf ich die datenbank nicht mehr benutzen?

weil der Eindringling nun auch auf die 'configuration.php' Zugriff hatte und von daher auch dein Login und Passwort für die DB.


Hier noch ein Link mit guten Tips (wer noch andere mit kennt kann diese ja mal hier mit anhängen) : Hier lang

Gruß
Underwood

http://www.marcofolio.net/joomla/7_tips_to_optimize_joomla_security.html

 

[rey]

AW: Joomla Webseite gehackt

Genau wenn die Seite gehackt wurde kannst du die Passwörter für DB und FTP vergessen die sind dem hacker nun bekannt.
Ein Backup der Seite naja der kompletten brauchst du auch nicht da wie schon gesagt wurde du nicht weißt was alles verändert wurde.
Jedoch kannst du die Tabellen für die Contents sichern damit du diese nicht neu schreiben musst eine genaue Anweisung für findest du über google.
die Benutzer Passwörter der einzelnen User zu hacken hat was, ich persönlich dachte das es nahe zu unmöglich ist, so fern man lange Passwörter nutzt mit Sonderzeichen zahlen etc.
und am besten die neuste joomla Version drauf spielen

 

[LuckyStrike]

AW: Joomla Webseite gehackt

ich hänge immer noch,
ich hatte keine FTP daten drin in der config
und das passwort der database kann ich doch ändern,
hab ich natürlich.

 

[underwood]

AW: Joomla Webseite gehackt

Hi LuckyStrike,

woran hängst Du immernoch?

Wenn jemand auf deiner Joomla Installation war, dann hat er schon deine FTP Daten. Und die Jungs sind meinst so schlau sich ein Hintertürchen einzubauen um bei eventueller Änderung des Adminpassworts dennoch Zugriff drauf zu haben.

Wie schon vorher geschrieben, mach eine Neuinstallation (lösche die Alte) in einen neuen Pfad und in einer neuen DB (sichere Dir die Content DB um eventuell später an die Texte ran zu kommen). Installiere keine Komponenten, Module oder Plugins, bei denen Du nicht weißt wer Sie erstellt hat und beachte immer die Updateversionen.

Benutze JoomlaPack um Dir früh genug Deine Seite und Deine DB zu sichern, mach einen zusätzlichen Verzeichnisschutz für den Administrator Ordner.
Schau immer mal wieder in die Logfiles, die Dir Dein Anbieter auf Deinem Server eingerichtet hat um zu überprüfen wer auf Deiner Seite war, Du kannst zusätzlich noch JoomlaWatch installieren um es noch ein wenig übersichtlicher zu bekommen. Es gibt Komponenten wie 'Eyesite' oder 'GuardXT' die Dir einen genauen Bericht erstellen, ob auf Deinem Joomla-root Änderungen an Dateien stattgefunden haben.... und so weiter und so fort - schlussendlich kannst Du über die Suchmaschine Deines Vertrauens noch viel mehr Sicherheitsmaßnahmen ausfindig machen, die Einen kosten und die Anderen nix, ne

Sonnige Grüße
Underwood

 

[LuckyStrike]

AW: Joomla Webseite gehackt

Ich hänge immer noch daran, wie jemand an meine FTP Daten kommt, ohne dass ich die in Joomla eingetragen habe. (ich benutze nicht den FTP Upload innerhalb Jommlas)

Die seite wurde vorgestern erneut gehackt, trotz
*htacess,
admin schutz *.htacess + htpasswort,
alle Rechte auf mindestens 750
joomla 1.5.14
ohne Plugins
neues datenbankkennwort, neue datenbank

habe wieder in jedem Ordner eine ge*****te
*htacess drin
und index wieder zerhackt.

ich habe nur einen Zugriff im Log zu der Zeit:

82.135.125.226 - - [14/Sep/2009:16:34:36 +0200] "GET /index.php?format=feed&type=atom HTTP/1.1" 200 123 "-" "Apple-PubSub/65.11"
82.135.125.226 - - [14/Sep/2009:17:07:40 +0200] "GET /index.php?format=feed&type=atom HTTP/1.1" 200 123 "-" "Apple-PubSub/65.11"
82.135.125.226 - - [14/Sep/2009:17:37:42 +0200] "GET /index.php?format=feed&type=atom HTTP/1.1" 200 123 "-" "Apple-PubSub/65.11"
82.135.125.226 - - [14/Sep/2009:18:07:44 +0200] "GET /index.php?format=feed&type=atom HTTP/1.1" 200 123 "-" "Apple-PubSub/65.11"
82.135.125.226 - - [14/Sep/2009:18:37:46 +0200] "GET /index.php?format=feed&type=atom HTTP/1.1" 200 123 "-" "Apple-PubSub/65.11"
82.135.125.226 - - [14/Sep/2009:19:07:47 +0200] "GET /index.php?format=feed&type=atom HTTP/1.1" 200 123 "-" "Apple-PubSub/65.11"

das ist eine Zahnarztpraxis in München.
die daten wurden aber mitten in der nacht bei mir geändert.

da in den Logs nichts ist, aber ich ja das Änderungsdatum per FTP sehe muss ich davon ausgehn, dass der hacker die FTP Daten hat?

 

[Castordesigns]

AW: Joomla Webseite gehackt

Gib mal link von der Seite (oder halt per PN)

Lösch einfach mal ALLES.
Du musst die GESAMTE Datenbank löschen. nicht nur die DATEIEN auf dem Server, die gesamte Datenbank.

Dann musst du alles neu erstellen. Erstell möglichst ALLES neu.
Auch anderer Datenbankuser, anderer Datenbank name, logischerweise Passwort.

Jetzt ist die Sache so: Da Joomla so populär ist und der Quellcod einschaubar ist, wird es immer wieder hacks geben um in den Admin account zu kommen.
du sagst, du hast eine .htaccess für das /administrator verzeichnis? Ist das Passwort auch verschlüsselt oder steht das da in klartext? sind die Zugangsdaten der .htaccess im selben Verzeichnis? wenn ja leg die irgendwo in die entfernteste Ecke des Webspaces ;-)

alle Rechte auf mindestens 750

Was meinst du mit mind?
du bist dir schon bewusst dass du die Rechte auch ZU HOCH setzen kannst und dann sind sie für quasi JEDERMANN beschreibbar...

mach mal alle Tipps die dir von der genannten SEite gegeben werden... (die 7 Tipps da) das scheint mir sehr vernünftig zu sein und mach natürlich zuerst jegliche veränderungen auf localhost und erst DANN auf dem Webspace.

 

[mcone2004]

AW: Joomla Webseite gehackt

Sowas ist mir auch schon mal passiert.
Nur war dort der Hacker so nett und hat mich auf den Fehler hingewiesen und mir auch geschrieben wo er rumgespielt hat.
Mein Fehler war der myphpadmin Ordner meiner Datenbank - dort fehlte der Vereichnisschutz.

Naja aus Fehlern lernt man, oder?

Bei scheint es aber andere Beweggründe zu geben.

 

[chris1407]

AW: Joomla Webseite gehackt

Hi LuckyStrike. Benutze für die .htpasswd am besten Unix MD5 verschlüsselung wenn du einen Apache Server besitzte. Die sind bei weitem nicht so einfach einfach zu knacken wie MD5 oder DES.

htpasswd generator

Wenn du ein Shared Hosting Angebot nutzt, muss die Sicherheitslücke nicht zwangsweise auf deiner Seite sein.

Es gibt auch nen Service im Internet der deine Webseite auf Sicherheitslücken testet. Weis aber nicht ob ich den Link hier posten darf wegen Werbung und so. Wenn du wills schick ich dir den per PN oder du googelst mal nach "Infected Web".

 

[swsde]

AW: Joomla Webseite gehackt

Ich würde an Deiner Stelle mal den Serverprovider informieren und ihn bitten, eine Hackanalyse durchzuführen. Nur so wirst Du ein sinnvolles Gesamtbild der Situation bekommen. zudem besteht durchasu die Möglichkeit, dass andere Webspeicherplätze mit Mitleidenschaft gezogen worden sind - ggf. auch über einen anderen Webspeicherplatz der Zugriff erfolgt ist.
Du solltest weiterhin die Möglichkeit in Betracht ziehen, dass Du Dir einen Trojader oder Keylogger eingefangen hast. Dann nützt Dir das Neuaufsetzen des Systems herzlich wenig.
In den vergangenen Wochen sind hunderte Hacks über phpMyAdmin erfolgt - prüfe auch hier - ob Du die aktuellste Version nutzt.
Aber als erstes: wende Dich an Deinen Serverprovider!!

gruß
thomas.

 

[dosonaro]

AW: Joomla Webseite gehackt

welche joomla version hast du denn genutzt?

für sicherheit gibt es einige plugins

Search results for keyword: security - Joomla! Extensions Directory