[draxel3742]

Hallo!

...habe gerade gemerkt, dass meine Joomla-Seite gehackt wurde, d.h. wenn ich die Seite (www.yaax.net) oder den Admin-Bereich aufrufe, kommt nur eine Seite mit türkischer Musik und dem Hinweise, dass die Seite gehackt wurde (Verweis auf www.turk1919.com).
Was kann ich tun? Sind meine alten Daten noch verfügbar? Oder ist alles weg?

Hoffe, dass jemand helfen kann...

Danke,
   Axel

[M@lte]

Als erstes würde ich mal die index.php entfernen. Ggf. die Dateien vorher sichern, falls Du den Hacker in Regress nehmen möchtest (Beweissicherung). Damit nimmst Du dem Hacker schon mal seinen Erfolg, denn viele Hacker betreiben so etwas als Sport und brüsten sich an anderer Stelle mit ihren Erfolgen, veranstalten nicht selten sogar Wettbewerbe: wer schafft die meisten Seiten innerhalb einer bestimmten Zeit.
Ob Deine Daten noch vorhanden sind, ist abhängig davon, ob Du Backups gemacht hast. Wenn nein kann Dir der Admin bestimmt helfen, denn auch er macht Backups von allen Daten. Das ist aber bestimmt kostenpflichtig.
Wirklich wichtig ist dann aber auch, wenn Du das Backup eingespielt hast oder die Daten anderweitig wieder hergestellt hast, dass Du herausfindest, wie der Hacker es geschafft hat. Du hast irgendwo eine Sicherheitslücke, die der Hacker natürlich jederzeit wieder benutzen kann, wenn Du die Daten wieder hergestellt hast.
Mögliche Quellen für Sicherheitslücken: Falsche Zugriffsrechte (auf den Joomla100-Servern mehr als 755 für Ordner und 644 für Dateien, veraltete Komponenten, veraltete Joomlaversion...
Sowie für den Anfang. Hoffe dass das schon mal hilft.13

[admin]

So wie es aussieht haben sich die Hacker die configuration.php vorgenommen. Bei allen bislang gehackten Seiten war der Fehler ganz offensichtlich.

1. Joomla war nicht auf dem aktuellsten Stand (mindestens 1.0.12)
2. veraltete Komponenten waren noch im Einsatz oder zumindest installiert, wenn auch nicht aktiviert. Aber das Vorhandensein von veralteten Dateien reicht schon aus, die Komponente selbst muss nicht im Backend von Joomla aktiviert sein
3. die Rechte waren katastrophal gesetzt. Inzwischen wurde schon mehrmals per Rundschreiben darauf hingewiesen, dass die Rechte entsprechend dem Link in meiner Signatur gesetzt werden sollen. Wer das nicht beachtet, öffnet den Hackern Tür und Tor. Da kann der Server noch so gut konfiguriert sein, wenn diese grundlegenden Sicherheitsrichtlinien nicht beachtet werden, kommt es früher oder später zu einem erfolgreichen Hackerangriff.

[notfalling]

Ich habe jetzt von zunächst mal sowohl die index.php von der Hauptseite und vom Admin-Bereich lokal gespeichert und per FTP auf dem Server gelöscht. Wie sieht denn nun die weitere Vorgehensweise aus, damit die Seite erstmal wieder normal erreichbar ist?

[admin]

Dafür müsste die configuration.php wieder eingespielt werden, sofern diese noch vorliegt. Im Backup auf dem Server ist leider bereits die gehackte configuration.php gesichert worden, da die Hacker schlauerweise 1 Std. vor Start des Backups tätig wurden.

[notfalling]

Nein, die alte configuration.php hab ich nicht mehr. Heißt somit also: Komplette Neuinstallation?

[admin]

Nein, eigentlich nicht. Wissen Sie noch, welche Datenbank für ihre Seite im Einsatz war? Der genaue Datenbankname wäre wichtig.

[notfalling]

Ich bin per PHPmyadmin auf der Datenbank drauf. Aber wo finde ich nun den Datenbanknamen? Die Namen die ich hier zur Verfügung habe, beziehen sich ja alle auf die Komponenten wie z.B. "mos_akobook", etc.

Kann ich da irgendwo den Datenbanknamen auslesen?

[Mikelop]

Hmm auch meine Seiter ist nicht mehr erreichbar.

Also es wird nur beim aufrufen des Links www.partylokal.de  angezeigt: Seite ist nicht erreichbar.

Wie kann ich meine Seite wieder online bringen?

Oder habt Ihr vorsichtshalber Seiten deaktiviert?

Hab schon index.php und config gespeichert.

Bitte um Rückmeldung. Danke

[admin]

Das hat nichts mit einem Hack zu tun sondern damit, dass sich entweder wieder einer einen Spass gemacht hat um sein Profil nach oben zu bringen oder es waren zuviele Besucher auf der Seite. In jedem Fall ist der DB-Server der Seite überlastet.

[famone]

Unsere Seite www.pussygalore-party.de wurde auch von der türkischen Truppe lahmgelegt.
Wir haben dort eine Community mit ca.500-600 Usern aufgebaut, gibt es noch eine Chance die Daten zu sichern? Alle anderen Daten sind erstmal nicht so wichtig, hauptsache die Userdaten könnten bei einer Neuinstallation importiert werden.
Und um die Frage vorweg zu nehmen, nein es wurden keine Backups angelegt (sicherlich das letzte Mal).
Hat jemand einen Tip für mich, wie ich unsere "User" retten kann?

[admin]

Handelt es sich bei der Installation um ein vorinstalliertes Paket, welches gehackt wurde? Die Userdaten sind alle zu retten, eigentlich muss nur eine Datei wiederhergestellt werden, damit die Seite wieder läuft, das wäre wie bei fast allen anderen betroffenen Seiten die configuration.php.

[famone]

Ja, es ist handelt sich um das vorinstallierte Community Paket.

Wie kann die configuration.php wiederhergestellt werden?

Vielen Dank schonmal für die schnelle Antwort!

[Mikelop]

Ok Danke für die Information. Dachte nur, weil es zur selben Zeit passierte.

Werd mir noch was überlegen müssen mit den Hits der Profile.... evtl. die Hits nicht mehr im Profil anzeigen zu lassen.

Trotzdem danke für die Info.

Gruß

[admin]

Das müssen die Jungs aus der Technik machen, wird morgen im Laufe des Tages erledigt. Bei der Gelegenheit sollten Sie mal prüfen, ob Joomla und die installierten Komponenten auf dem neuesten Stand sind und ob die Sicherheitshinweise aus dem Link in meiner Signatur bereits umgesetzt wurden, sonst wäre das wohl nicht passiert.

Ja, es ist handelt sich um das vorinstallierte Community Paket.

Wie kann die configuration.php wiederhergestellt werden?

Vielen Dank schonmal für die schnelle Antwort!