[keineus]

Hi zusammen,
ich habe heute die Info bekommen, dass beim Aufruf der Seite www.tusbrake-fussball.de eine Warnung von einigen Virenscannern ausgesprochen wird. Vorallem bei der Nutzung des Inet 7.
Ich habe eigentlich nichts verändert oder hinzugefügt.

Kann man das irgendwie überprüfen, ob sich da was eingeschlichen hat? Oder sollte ich einfach nur mal ein Update von Version 1.13 machen?
Greez,P

[admin]

Gleiches Thema wie bei folgendem Beitrag:

http://www.joomla100.com/forum/index.php?topic=1971.0

Nachtrag: ein anderer Kunde hatte heute auch noch das Problem, auch hier waren die Joomla-Version und die installierten Komponenten nicht aktuell. Wofür gibt es denn wohl Sicherheits-Updates?

Anzahl der infizierten/gehackten Dateien: 270

Oder sollte ich einfach nur mal ein Update von Version 1.13 machen?

Dazu kein Kommentar...

[keineus]

Ja, es gibt Sicherheitsupdates, aber wer bitte schon macht sich denn einen Kopf darum, das jemand ne blöde Vereinsseite hackt?
...wenn man da nicht immer ein Auge drauf hat...also ich werde dann versuchen mehrere Dinge durchzugehen...
Danke schön.

[admin]

Die Hacker hacken nicht gezielt. Die lassen einfach ein Skript laufen, suchen nach veralteten Komponenten mit Sicherheitslücken und wenn das Skript was findet, verrichtet es sein Werk. Das kann eine private Homepage mit 2 Besuchern am Tag genauso treffen wie eine riesen Seite wie joomlaos.de, sofern eben das Skript die Seite crawlt und fündig wird.

[keineus]

Okay, habe verstanden...also ich versuche das gerade wieder ins Lot zu bringen, aber im Endeffekt ist es doch am besten, wenn alles neu aufgesetzt wird, um ganz sicher zu gehen, oder sehe ich das falsch...

[keineus]

Ohha, sch...die Wand an...ich versuche gerade die Dateien zu sichern...zumindest die notwendigen...und selbst da dreht mein Rechner durch...
ICH WERDE JETZT IMMER BRAV UPDATES MACHEN!

Edit: So wie es derzeit aussieht, lag es wohl nicht an der JOOMLA Installation, sondern an der Contrexx Installation.

[admin]

Contrexx-Installation? Andere Seiten waren ja auch betroffen, da war kein Joomla installiert. Erste Vermutungen haben ergeben, dass evtl. eine veraltete JoomlaXplorer-Version dafür verantwortlich sein könnte.

[keineus]

Hmm, eigentlich ist alles verseucht...naja, also Xplorer habe ich bei meiner Version nicht installiert und benutzt, es sei denn das es Standard ist.
Sämtliche html files sind hin...
Hatte eigentlich nur die Version 1.13 und Docman nicht ganz aktuell...kann es an der alten vorinstallierten Joomlaversion gelegen haben, die noch auf dem Server lag?

[admin]

Sehr wahrscheinlich, da die Hacker nicht danach gehen, ob eine Komponente/Seite online ist, die benötigen leider nur die alten Dateien irgendwo auf dem Server.

[keineus]

Okay, das denke ich dann mal, wollte das letzte Woche noch weghauen, aber nein...dann heisst es jetzt ran an die Tasten und die Site wieder neu aufbauen.

Ist eine komplette Neuinstallation mit allem drum und dran ratsam, den Server komplett leer fegen und dann alles von der Pike auf neu aufsetzen, um sicher zu gehen...

[admin]

Das wäre die sicherste Methode, klar. Je nach Kenntnisstand kann es auch mit einem Programm, das die Original-Dateien mit den Dateien auf dem Server vergleicht, untersucht werden. Hier sucht das Programm Abweichungen zum Original und meldet gehackte Dateien.

[keineus]

Was ich jetzt vom technischen Standpunkt nicht ganz nachvollziehen kann...neue Joomlaninstallation klar, neue Komponenten und Modulinstallation klar.
Besteht denn eine Möglichkeit, dass ich nicht die kompletten Seiten wieder neu einrichten muss...sind diese Daten nicht in der mysql Datenbank hinterlegt?
Das ich, was die Softwarekomponenten betrifft alles neu aufspiele und dann die Datenbackup einpflege, davon habe ich nämlich ein Backup?

[admin]

Ja, das ginge. Es müssten halt alle Tabellen, die für die User und für den Content verantwortlich sind, exportiert werden.

Also jos_core_acl...., jos_users -> für User-Übernahme, jos_categories, jos_sections, jos_content, jos_menu für Content, wobei ich mir jetzt nicht sicher bin, ob das alle sind.

Versuch macht kluch...

[keineus]

Moin,
also bisher läuft es ganz gut!
Kurze Frage, was ist mit den Verzeichnissen vor dem Ordner /html...
etc., files etc.
Die kann ich nunmal nicht einfach so löschen, wie kann ich sicher gehen, dass sich hier nichts befindet?
Könnt ihr nochmal einen Virenscan machen und schauen, ob nun alles weg ist?

[admin]

Einen 100%igen Scan gibt es hier leider nicht, da ja nicht klar ist, welchen Code der Hacker eingeschleust hat. Am sichersten ist es natürlich, die Seite neu zu installieren oder eben die Installation runterladen und mit einem Editor wie phase5 dateiübergreifend nach dem bekannten Schadcode zu durchsuchen. Auf /files ist der Hacker sicherlich nicht gekommen, da dieser nur Zugriff auf Ordner hat, die über den Browser zu erreichen sind, was nur bei /html und darunter liegende Ordner der Fall ist.