[bkcvde]

Hallo Supporter,

leider ist es mal wieder soweit. Eine meine Kundenseiten wurde gehackt (www.smartfriends.de). Datum des Angriffs, soweit von mir nachvollziehbar, der 05.12.2009 (20:58). Es wurden wohl alle index-Seiten in allen Verzeichnissen abgeändert. Den Angriffspunkt konnte ich noch nicht ausmachen. Habt Ihr ein Backup mit Stand vor dem 05.12.2009, welches ihr einspielen könnt?
Ich bitte um schnelles Feedback (ja, ich weiss, dass es Sonntag ist).

Netten Gruß
Christian

[Powerware]

Auch meine Seite wurde Heute Nacht gehackt.
Anbei ein Screenshot von der gehckten Seite.
Meine Internetadresse: www.Flieg-Zeug.de

Könntet Ihr bitte ebenfalls die Datensicherung von Freitag den 05.12. einspielen?

Und was kann Ich machen dass dieser Hack nicht wieder vorkommt?

Danke

[bkcvde]

Servus Powerware,

selber Hacker hier ... 

Welche Joomlaversion nutzt Du? Warst Du updatemässig auf neuestem Stand? Bei mir war es (leider) noch die 1.5.8 (sagt zumindest Changelog). Hast Du eine Ahnung, wo bzw. worüber der Angriff stattfand? Ich habe noch nichts gefunden. Es schaut so aus, als ob nur die index-Dateien verändert wurden.

Gruß
Chris

[Powerware]

Hi
Ja ich war aktuell.
Habe am Donnerstag auf die aktuelleste Joomla Version upgedatet.
Die gehackte index.php aus der Root habe ich vorhin kurz weggesichert und eine neue leere reingepackt.
Damit meine Besucher nicht den Schwachsinn von dem Looser sehen.

Ist halt etwas Arbeit die Seite wieder herzustellen.

Gruß von P

[JoLic]

Hallo,

ich habe einfach per FileZilla (ftp) alle Dateien gelöscht und dann per phpMyAdmin die Datenbanken gelöscht. Sicher ist sicher!  

Anschließend mein Backup per Confixx wieder hergestellt.

Das war es dann  

Hoffe nur das Joomla100 das Sicherheitsloch gefunden und gestopft hat  

Jo

www.jolichter.de

[bkcvde]

Das Backup ist das Problem  

Ich habe keines vorrätig (ja, Asche auf mein Haupt) ...

EDIT:

BTW: Weisst Du worüber die reingegangen sind?

[JoLic]

ja, angeblich über einen Kunden  

Da hilft es auch nicht das mein CMS aktuell ist .... aber ein Backup hilft immer!

Jo

PS: Backups mache ich jede Woche 

[bkcvde]

Über Kunden denke ich hier bei mir nicht, da ich für die Seite den alleinigen Adminzugriff habe, sprich diese wird auch nur von mir gepflegt.

Wenn ich meinen FTP so durchsehe, habe ich den Verdacht, dass wirklich nur die index-Dateien verändert wurden. Nur hilft das austauschen auch nichts, wenn die Lücke nicht klar ist. Dann kommt der Nächste und haut wider sein Sign auf die Seite 

[admin]

Hier der aktuelle Zwischenstand (nach Rücksprache mit dem Rechenzentrum), der eben per Rundschreiben an alle betroffenen Kunden raus ging:

Sehr geehrte Kundinnen und Kunden,

letzte Nacht kam es zu einem Hackerangriff auf Ihrem Server, der zunächst eine Sicherheitslücke bei einem Kunden ausnutzte und danach auf andere Seiten übergriff. Das Skript (ein Massendefacement) hat alle Index-Dateien überschrieben, das Resultat ist dann eine gehackte Startseite (vermutlich nicht zufällig zum Nikolaus).

Derzeit arbeiten wir daran, aus dem Backupserver die Backups zurückzuspielen, was leider noch etwas Zeit in Anspruch nehmen wird. Wir müssen vom Backup-Server alle index-Dateien aus den gepackten Backup-Dateien auslesen um diese dann entpackt zurückschreiben zu können.

Aktueller Stand ist, dass ca. 15% der Dateien ausgelesen sind, es wird also noch ca. 9-10 Stunden dauern, bis die Backups ausgelesen und zurückgespielt wurden.

Um auszuschließen, dass nicht irgendwo auf dem Server noch eine Hintertür eingebaut wurde, wird ebenfalls ein neues Betriebssystem auf dem Server installiert, damit die Hacker nicht wieder kommen.

Für den Ausfall heute und die Bearbeitungszeit bitten wir um Ihr Verständnis.

Freundliche Grüße,

Ihr Team von Joomla100

[bkcvde]

Vielen Dank für den Status und den schnellen Support

[admin]

PS: damit die Startseite nicht so bleibt, wie sie sich derzeit darstellt, können Sie theoretisch auch eine index.html in das Hauptverzeichnis Ihrer Joomla-Installation hochladen, mit einem Hinweis auf Wartungsarbeiten o.ä., Sie selbst können dann prüfen, ob das Zurückspielen schon erfolgt ist, indem Sie www.ihredomain.de/index.php aufrufen.

Die index.html wird nur angezeigt, wenn man Ihre Seite über www.ihredomain.de aufruft.

[JoLic]

Hallo Frink-Server User,
prüft doch mal nach dem Restore des Backups eure Dateirechte auf dem Server.
Bei mir haben alle Dateien nun 755 Rechte

....

[PhoebusApollo]

Hallo Frink-Server User,
prüft doch mal nach dem Restore des Backups eure Dateirechte auf dem Server.
Bei mir haben alle Dateien nun 755 Rechte

....

Oh oh... Das kann ich bestätigen!!! 

[bkcvde]

Und meine Seite funktioniert noch gar nicht, da ist immer noch das türkische Scriptkiddie verewigt.
Gibt es einen neuen Status, wann wieder alles rund läuft?

Montagmorgengruss ...

[admin]

Und meine Seite funktioniert noch gar nicht, da ist immer noch das türkische Scriptkiddie verewigt.

Bitte nochmal die Domain per Mail oder PM.

Bei mir haben alle Dateien nun 755 Rechte

Besser?