Willkommen, Gast
Benutzername: Passwort: Angemeldet bleiben:
  • Seite:
  • 1

THEMA: Wieder Schadcode auf Website

Wieder Schadcode auf Website 12 Mär 2020 18:34 #47507

Nach längerer "Ruhe" ist wieder mal der Teufel los:

Der Hoster "Hoststar" informiert mich mit einem Mail, dass die Techniker Schadcode in meiner Joomla Installation entdeckt haben, welcher u.a. Spam verursache, Schadcode auf die Website laden könne oder Angriffe auf Drittsysteme ausführen könne.
Danach wurden einige PHP-Dateien aufgeführt, welche nun entfernt seien.
Ich müsse nichts unternehmen, so der Provider, weil ein Backup eingespielt wurde - letzter Stand ohne Infektion.
Soweit so gut - nur das löst bei mir Stirnrunzeln aus:
Ich habe jederzeit die neuesten Updates ausgeführt, keine exotischen Plug-ins oder Komponenten sind vorhanden …… was kann ich den noch alles "falsch" gemacht haben?

Danke für Tipps
Stefan

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wieder Schadcode auf Website 12 Mär 2020 18:40 #47508

Hoi Stefan

Das ist übel und vorallem kratzt es am vertrauen in Software, Hoster sich selbst.

Eine Seite einmal mit schadcode verseucht ist sehr übel. Es ist gut möglich dass der schadcode seit längerem in der Seite schlummert. Theoretisch können da auch schon die Backups verseucht sein.

Ich habe mit mysites.guru gute erfahrung gemacht, die Seiten zu scannen. Und sicherheitstechnisch nebst aktueller software, das Administrator Verzeichnis .htacces zu schützen, sowie die .htaccess mit den Siwecos.de einträgen zu erweitern.

Lg Adi
Viele Grüsse

Adi Heutschi
www.adiheutschi.ch - webdesign - hosting - seo

Meine Dienste hier sind ehrenamtlich!
Umso mehr freue ich mich, wenn Du mir als Anerkennung eine positive Google Rezension hinterlassen würdest. Das kostet lediglich ein paar klicks... goo.gl/ZgD3jx VIELEN DANK!
Folgende Benutzer bedankten sich: Runner.one

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wieder Schadcode auf Website 13 Mär 2020 08:42 #47514

....und ich würde gerne die Dateien selbst sehen:
Wo waren diese, seit wann (Datum/Zeit) und was stand drinn?

Dann könnte man ev. anhand vom Access-Log das Problem lokalisieren.

Denn so gesehen, mit diesen Angaben, ist es ja nur eine Mail vom Hoster.....
Man soll das Kind ins Korn werfen solange es noch heiss ist, auch wenn das der eine Tropfen ist, der dem Fass die Krone ins Gesicht schlägt...
Folgende Benutzer bedankten sich: Runner.one

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wieder Schadcode auf Website 13 Mär 2020 10:13 #47515

Danke Adi und Tribal6
folgende Dateien hat Hoststar aufgeführt:
smgyp.php
sxjbv.php
szcpe.php
tsrlx.php
uwspt.php
uz6vxm.php
vclld.php
Es wurde ein "sauberes" Backup vom 4.3. eingespielt ….. also lange kann das nicht her sein.
Wenn ich das Server-Log ansehe, wird mir leicht übel: IP's von China bis USA ist alles vertreten ..
Grüsse Stefan

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wieder Schadcode auf Website 13 Mär 2020 22:19 #47523

Hi Stefan,

hast/hattest du ein sicheres Admin Passwort?

Also nicht
runner1973

Sondern
RunneR1973!aBiY39!

z.B.

Die letzten 2 Joomla "Hacks", die ich bearbeitet habe (eigentlich gibt es die nicht mehr) waren offenbar Bruteforce Attacken/geknackte Passwörter. Und dann wurde ein Template mit Schadcode installiert über das Backend.
Davor hatte mal jemand die Akeeba kickstart.php vergessen, worüber Schadcode importiert wurde - ansonsten ist es um Joomla sehr ruhig geworden.

Hast du einen htaccess Passwortschutz für das /administrator Verzeichnis gesetzt?
Wenn nicht, würde ich das empfehlen.


Gruß

Pascal

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wieder Schadcode auf Website 14 Mär 2020 10:33 #47524

hallo Pascal
Admin PW: Zahlen/Buchstaben (gross+klein) sowie Sonderzeichen ….
keine Ahnung, wie "schnell" sowas geknackt werden kann ….
habe auch seit gestern den Amin mit .htaccess zusätzlich gesichert ….
sehe im Serverprotokoll folgendes (Auszug):
118.109.113.228 - - [14/Mar/2020:07:23:11 +0100] "GET /administrator/index.php HTTP/1.0" 401 635 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
148.102.120.215 - - [14/Mar/2020:07:29:26 +0100] "GET /administrator/index.php HTTP/1.0" 401 635 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
120.79.219.147 - - [14/Mar/2020:07:42:26 +0100] "GET /administrator/index.php HTTP/1.0" 401 635 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
94.23.13.183 - - [14/Mar/2020:07:55:47 +0100] "GET /administrator/index.php HTTP/1.0" 401 635 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
173.212.212.80 - - [14/Mar/2020:08:02:42 +0100] "GET /administrator/index.php HTTP/1.0" 401 635 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
47.106.96.255 - - [14/Mar/2020:08:10:53 +0100] "GET /administrator/index.php HTTP/1.0" 401 635 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
47.99.144.49 - - [14/Mar/2020:08:18:32 +0100] "GET /administrator/index.php HTTP/1.0" 401 635 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"

???
Grüss
Stefan

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Letzte Änderung: von Runner.one.

Wieder Schadcode auf Website 14 Mär 2020 12:03 #47525

Du kannst hier
whatismyipaddress.com
die IP Adressen nachschlagen, zumindest aus welchen Ländern sie kommen.
Der Code 401 bedeutet einen nicht autorisierten (also abgewimmelten) Zugriff, kein Grund zur Sorge also.
Joomla! 3: Professionelle Webentwicklung von David Jardin und Elisa Foltyn - das Standardwerk zu Joomla! 3
Wer nicht über den Anstand verfügt, ein kleines "Thänx" auszusprechen, muss sich nicht wundern, künftig ignoriert zu werden!
Kein Support via PM oder Mail. Entsprechende Anfragen werden ignoriert.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wieder Schadcode auf Website 14 Mär 2020 13:25 #47526

Danke Chris
ich schaue die IP lieber hier eigene-ip.de/
hat weniger Werbung :)

Stefan

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Seite:
  • 1