Hier ist nun Eile geboten. Der Grund dürfte klar sein: Schäden vermeiden. Es reicht nicht, die HP im Backendbereich des CMS einfach, wie zum Beispiel bei Joomla in den Wartungsbereich zu versetzen.
- Die Webseite muß sofort Offline gesetzt werden. (Hierfür empfehle ich zwei Möglichkeiten. Die Erste ist, die Seite mit Passwortschutz dicht machen. Dazu dieses Script ausführen. Die Zweite wäre, erstmal schnell den Ordner des Roots der Webseite umzubenennen. So läuft die URL ins leere.)
- Im Backend eines CMS nach Usern mit Adminrechten suchen. Unbekannte Adminuser entfernen. Bekannte Adminuser degradieren auf registered. Die bekannten Adminuser auffordern ihre Rechner zu durchsuchen und zu bereinigen.
- Den Hoster informieren und gegebenenfalls um Hilfe bitten.
- Den eigenen Rechner auf Malware/Viren/Trojaner checken.
- Alle Zugriffsdaten ändern (Ftp/Sftp, SSH, Datenbanken, E Mails, Backend soweit möglich usw.)
- Feststellen wo das Leck ist, durch das der Hack stattfinden konnte. Dazu unten mehr.
- Wenn keine Sicherung vorhanden ist, Beiträge und anderes per Drag & Drop aus dem Backend oder der Datenbank in einen Editor wie zum Beispiel Notepad++ sichern. Dabei darauf achten, dass eventueller Schadcode im Editor entfernt wird. Nicht einfach eine ungeprüfte Datenbank wiederverwenden.
- Den Webspace komplett bereinigen(auch die Datenbank/en) !!!
- Und nun würde ich persönlich Schritt 3 und 4 nocheinmal ausführen.
- Saubere Datensicherung (Backup) einspielen alles aktualisieren und die Lücke absichern. Ist keine Datensicherung (Backup) vorhanden, eine neue HP erstellen und die im Editor gesicherten Daten wieder eingeben.
- Wird die Registrierung neuer User nicht benötigt, sollte sie auch nicht aktiviert sein. Damit ist nicht das Loginmodul gemeint, sondern die Registration in Joomla.
Die Sicherheitslücke zu finden ist wichtig um vor zukünftigen Angriffen in der selben Richtung geschützt zu sein.
Hierzu eine kleine Liste zum abarbeiten.
- Den Zeitstempel der Dateien im Joomlaroot untersuchen. Zeit notieren und auch die geänderten Dateien.
- base64 code oder iframes sind zum Beispiel zwei der Sachen an denen man Hacks erkennt.
- Server und FTP Logs untersuchen. Da wir ein vermutliches Zeitfenster haben, wird vermutlich auch da der Hack liegen. Hierbei wird ein guter Hoster sicher auch weiterhelfen aus Eigeninteresse.
- Nach Aussage vieler Hoster sind fast alle Hacks der letzten Zeit auf veraltete und somit unsichere CMS und/oder ausgespähte FTP Zugangsdaten zurückzuführen. Sollte auf dem Rechner ein derartiger Keylogger gefunden werden, ist die Lücke klar.
Das Bereinigen von solchen Webseiten, empfehle ich nicht. Die meisten Webseiten sind nicht so groß. Man kann sie mit geringem Aufwand neu erstellen. Der Aufwand der Bereinigung ist sehr hoch. Es muß jede Datei und jede Datenbanktabelle analysiert werden. Ich fand schon Dateien von Hackern in Templates die gar nicht benutzt wurden, oder Schadcode in Datenbanktabellen, wo die Erweiterungen nicht mehr installiert waren. Sowas kann sehr tiefgreifend sein. Und Hacker hinterlassen sich immer eine Hintertür(Backdoor) um wiederkommen zu können.
Sollten Sie Hilfe benötigen, nehmen Sie mit mir Kontakt auf. Ich biete auch den Wiederherstellungsservice, Bereinigung und Datenrettung an.