Joomla100 Support Forum
Joomla!-/CMS-Hosting => Sicherheit und Updates => Thema gestartet von: bkcvde am 06.12.2009 12:38 Uhr
-
Hallo Supporter,
leider ist es mal wieder soweit. Eine meine Kundenseiten wurde gehackt (www.smartfriends.de). Datum des Angriffs, soweit von mir nachvollziehbar, der 05.12.2009 (20:58). Es wurden wohl alle index-Seiten in allen Verzeichnissen abgeändert. Den Angriffspunkt konnte ich noch nicht ausmachen. Habt Ihr ein Backup mit Stand vor dem 05.12.2009, welches ihr einspielen könnt?
Ich bitte um schnelles Feedback (ja, ich weiss, dass es Sonntag ist).
Netten Gruß
Christian
-
Auch meine Seite wurde Heute Nacht gehackt.
Anbei ein Screenshot von der gehckten Seite.
Meine Internetadresse: www.Flieg-Zeug.de
Könntet Ihr bitte ebenfalls die Datensicherung von Freitag den 05.12. einspielen?
Und was kann Ich machen dass dieser Hack nicht wieder vorkommt?
Danke
-
Servus Powerware,
selber Hacker hier ... >:(
Welche Joomlaversion nutzt Du? Warst Du updatemässig auf neuestem Stand? Bei mir war es (leider) noch die 1.5.8 (sagt zumindest Changelog). Hast Du eine Ahnung, wo bzw. worüber der Angriff stattfand? Ich habe noch nichts gefunden. Es schaut so aus, als ob nur die index-Dateien verändert wurden.
Gruß
Chris
-
Hi
Ja ich war aktuell.
Habe am Donnerstag auf die aktuelleste Joomla Version upgedatet.
Die gehackte index.php aus der Root habe ich vorhin kurz weggesichert und eine neue leere reingepackt.
Damit meine Besucher nicht den Schwachsinn von dem Looser sehen.
Ist halt etwas Arbeit die Seite wieder herzustellen.
Gruß von P
-
Hallo,
ich habe einfach per FileZilla (ftp) alle Dateien gelöscht und dann per phpMyAdmin die Datenbanken gelöscht. Sicher ist sicher! :(
Anschließend mein Backup per Confixx wieder hergestellt.
Das war es dann ;D
Hoffe nur das Joomla100 das Sicherheitsloch gefunden und gestopft hat ;)
Jo
www.jolichter.de (http://www.jolichter.de)
-
Das Backup ist das Problem ::)
Ich habe keines vorrätig (ja, Asche auf mein Haupt) ...
EDIT:
BTW: Weisst Du worüber die reingegangen sind?
-
ja, angeblich über einen Kunden ???
Da hilft es auch nicht das mein CMS aktuell ist .... aber ein Backup hilft immer!
Jo
PS: Backups mache ich jede Woche ;)
-
Über Kunden denke ich hier bei mir nicht, da ich für die Seite den alleinigen Adminzugriff habe, sprich diese wird auch nur von mir gepflegt.
Wenn ich meinen FTP so durchsehe, habe ich den Verdacht, dass wirklich nur die index-Dateien verändert wurden. Nur hilft das austauschen auch nichts, wenn die Lücke nicht klar ist. Dann kommt der Nächste und haut wider sein Sign auf die Seite >:(
-
Hier der aktuelle Zwischenstand (nach Rücksprache mit dem Rechenzentrum), der eben per Rundschreiben an alle betroffenen Kunden raus ging:
Sehr geehrte Kundinnen und Kunden,
letzte Nacht kam es zu einem Hackerangriff auf Ihrem Server, der zunächst eine Sicherheitslücke bei einem Kunden ausnutzte und danach auf andere Seiten übergriff. Das Skript (ein Massendefacement) hat alle Index-Dateien überschrieben, das Resultat ist dann eine gehackte Startseite (vermutlich nicht zufällig zum Nikolaus).
Derzeit arbeiten wir daran, aus dem Backupserver die Backups zurückzuspielen, was leider noch etwas Zeit in Anspruch nehmen wird. Wir müssen vom Backup-Server alle index-Dateien aus den gepackten Backup-Dateien auslesen um diese dann entpackt zurückschreiben zu können.
Aktueller Stand ist, dass ca. 15% der Dateien ausgelesen sind, es wird also noch ca. 9-10 Stunden dauern, bis die Backups ausgelesen und zurückgespielt wurden.
Um auszuschließen, dass nicht irgendwo auf dem Server noch eine Hintertür eingebaut wurde, wird ebenfalls ein neues Betriebssystem auf dem Server installiert, damit die Hacker nicht wieder kommen.
Für den Ausfall heute und die Bearbeitungszeit bitten wir um Ihr Verständnis.
Freundliche Grüße,
Ihr Team von Joomla100
-
Vielen Dank für den Status und den schnellen Support (http://www.macinacs.de/smile/appla23x19.gif)
-
PS: damit die Startseite nicht so bleibt, wie sie sich derzeit darstellt, können Sie theoretisch auch eine index.html in das Hauptverzeichnis Ihrer Joomla-Installation hochladen, mit einem Hinweis auf Wartungsarbeiten o.ä., Sie selbst können dann prüfen, ob das Zurückspielen schon erfolgt ist, indem Sie www.ihredomain.de/index.php aufrufen.
Die index.html wird nur angezeigt, wenn man Ihre Seite über www.ihredomain.de aufruft.
-
Hallo Frink-Server User,
prüft doch mal nach dem Restore des Backups eure Dateirechte auf dem Server.
Bei mir haben alle Dateien nun 755 Rechte ???
....
-
Hallo Frink-Server User,
prüft doch mal nach dem Restore des Backups eure Dateirechte auf dem Server.
Bei mir haben alle Dateien nun 755 Rechte ???
....
Oh oh... Das kann ich bestätigen!!! :o
-
Und meine Seite funktioniert noch gar nicht, da ist immer noch das türkische Scriptkiddie verewigt.
Gibt es einen neuen Status, wann wieder alles rund läuft?
Montagmorgengruss ...
-
Und meine Seite funktioniert noch gar nicht, da ist immer noch das türkische Scriptkiddie verewigt.
Bitte nochmal die Domain per Mail oder PM.
Bei mir haben alle Dateien nun 755 Rechte
Besser?
-
Bei mir haben alle Dateien nun 755 Rechte
Besser?
Ja nun haben die Dateien 644 und Ordner 755.
Allerdings entspricht das nicht den Zustand den meine Dateien hatten.
Werde nun meine "speziellen" Dateien manuell wieder auf 444 setzen.
Jo
-
Bitte nochmal die Domain per Mail oder PM.
PM ist raus ...
-
Restore läuft, das Problem beim Restore ist, dass das Backup inkrementell erfolgt, d.h. es wurden beim Restore bislang nur Dateien erfasst, die innerhalb der letzten Backup-Zyklen geändert (und deshalb vom inkrementellen Backup auch gesichert) wurden.
Jetzt läuft ein neues Skript, das auch die Dateien, die nicht innerhalb der letzten Wochen verändert wurden, zurückspielt.
-
Bitte nochmal die Domain per Mail oder PM.
Besser?
Bei mir passen die Rechte wieder. Danke.