Vorgehensweise bei einer gehackten Joomla-Seite
Leider passiert es immer wieder, dass eine Joomla-Seite aufgrund veralteter Komponenten/Module gehackt wird und dann zum Versenden von Spammails, Installation von Phishing-Seiten o.ä. missbraucht wird.
Hier ist schnelles Handeln erforderlich.
Nach einem Hack ist es äußerst schwierig, die Joomla-Installation wieder zu bereinigen. Es hängt nicht immer nur an den wenigen Dateien, die man auf die Schnelle findet, es besteht immer das Risiko, dass die Hacker sich irgendwo eine Hintertür (Backdoor) eingebaut haben, mit der sie wieder auf den Server kommen, um neuen Schadcode hochzuladen.
Joomla-Installationen können aus bis zu 10.000 oder mehr Dateien bestehen und es ist fast unmöglich, alle auf eventuell vorhandenen Schadcode zu prüfen. Um Ihre Seite schnellstmöglich wieder "gesund" online zu bringen, haben wir folgende Vorgehensweise für Sie erarbeitet:
1. Vorschalten eines Kennwortschutzes (wenn wir den Hack entdecken, erledigen wir das automatisch für Sie) um weiteren Schaden zu vermeiden
2. Identifizerung der Sicherheitslücke:
- Ist Joomla selbst aktuell, sind alle Erweiterungen aktuell?
- haben Sie eventuell einen Virus oder Trojaner auf dem Rechner? TIPP: nicht auf kostenlose Scanner verlassen. Wir haben bei einigen Kunden die Erfahrung gemacht, dass kostenlose Scanner nicht alles gefunden haben. Der Trojaner wurde erst nach Einsatz eines professionellen Scanners ausfindig gemacht, z.B. F-Secure, Kaspersky, AVG, TrendMicro etc. Wenn Ihr Rechner sauber ist, wäre noch zu prüfen ob es weitere User mit Admin-Zugang gibt, auch deren Rechner müssen geprüft werden.
Sollte auch hier kein Virus gefunden werden, wurde die Seite über eine Sicherheitslücke in Joomla oder einer Komponente bzw. Modul gehackt.
Somit ist die Installation kompromittiert und muss gesäubert werden.
Eine Methode, die auch für Anfänger geeignet ist, wäre folgende Vorgehensweise:
1. Update der Installation sowie aller Erweiterungen auf die jeweils aktuellste Version und Prüfung aller User im Usermanager
2. Deinstallation aller Erweiterungen, die nicht mehr benötigt werden bzw. die sich einfach durch Neuinstallation wieder integrieren lassen
3. Sichern des Template und dessen 100%ige Befreiung von Schadcode
4. Sichern des Bilder-Ordners und dessen 100%ige Befreiung von Schadcode (insbesondere PHP-Dateien haben nichts im Image-Ordner zu suchen!)
5. Aufsetzen einer Installation mit identischen Erweiterungen in identischen Versionen, am besten lokal (und erst, nachdem der Rechner gesäubert wurde)
Ziel von 5. ist, eine identische FTP-Struktur wie die Installation auf dem Server zu erhalten
6. Löschen aller Inhalte auf dem Server sowie ändern aller Kennwörter
7. Upload der lokal erstellten Installation per FTP
8. Rückspielen der gesicherten Bilder in die identischen Ordner
9. Rückspielen des Templates falls nicht schon lokal eingespielt
10. Upload der alten configuration.php inkl. Anpassung der configuration.php (neues DB-Kennwort eintragen)
11. vor dem erneuten Arbeiten mit der Installation von einem sauberen Rechner alle Kennwörter für die Admin-User ändern
Auf diese Weise ist sicher gestellt, dass keine Backdoor-Dateien mehr auf dem Server liegen können, die Inhalte können aber dennoch alle gerettet werden.