THEMA:

Ich benutze noch Windows Server 2012 was ich aber nächsten Monat vorhatte auf 2016 umzusteigen 

Welche PHP Version? Es könnte sich auch um eine Schwachstelle im PHP handeln, oder es ist eine Schwachstelle in einer Extension. Dann nützt dir der Backup nur kurz.

Die neuste 7

ich stelle mal zum 18.4.2021 wiederher 

da lief alles noch Problem los. 

hoffentlich sind die backups nicht von den Viren betroffen da der server heut morgen nochmal ein backup gemacht hat. 

wen es hoffentlich klappt und es geht wieder alles werde ich nochmal php neu aktualisieren 

Übrigens ich benutze das interne Windows server Sicherung tool. Ich lade gerade das gesamte Volumen backup von 18.4.21 auf eine neue Festplatte 

danach klemme ich die alte ab und starte mit der neuen den Server neu. Bin gespannt ob es klappt. 

ansonsten heisst es Website neu installieren 

Backup vom gesamten volumen hat geklappt 
ich habe ja 30 Festplatten am laufen 10 davon als backup 

der Zeitaufwand hat sich gelohnt das damals alles einzurichten 

so und nun nehme ich mir deinen Rat zu herzen und prüfe die php version und besorge ein stabiles antivirus

So nach langer Recherche liegt es nicht an der PHP version. Joomla würde da auch schon krach machen wen es dies wäre. 

es war ein Angriff definitiv. Den wo sollen diese Ordner her gekommen sein? Solche waren noch nie bei Joomla und werden es auch nie sein. 

Ich bedanke mich für die Unterstützung von euch! Danke! 

Ich Wünsche noch einen schönen Mittwoch Abend 

lg jens

Wenn es nicht an PHP liegt, kann es noch an einer Joomla Extension liegen. Joomla selber hatte schon seit langer Zeit keine Exploits mehr.
Was auch noch möglich ist, ist eine Lücke im Webserver selber. So lange du nicht herausgefunden hast, an was es gelegen hat, kann es jederzeit wieder passieren.
Wäre auch für uns interessant zu wissen, was die Ursache war.

Hallo @MartinKopp

wie ich schon erwähnt habe liegt es an php nicht. Unter joomla steht auch keine Fehler in der PHP Version.

gerne helfe ich euch. Ich werde mir morgen die Zeit nehmen wen ich von der Meisterschule nach hause komme und die andere Platte nochmal dran hängen und im Serverlog nachsehen ob ein Angriff jetzt statt gefunden hat. 
Es spricht aber alles dafür das es einer war. 
den
im joomla Ordner sowie der Administrator Ordner und die dazu untere Ordner waren mit Ordner und Dateien bestückt die folgenden Namen hatten:
AV .Ing
Photo
Video

und das jeweils doppelt. Und bei der Bezeichnung bei Video stand Bildschirmschoner 
was hat joomla damit zutun? 
nichts. 

es war definitiv ein angriff. Die dateien haben anscheinend einen spam bzw haben sie die gesamte Index dateien umgeschrieben unsw

der gesamte Administrator Ordner war mit den Dateien und Ordner bestückt. Auch die unterordner 
habe ich sie gelöscht haben sie sich von einer Minute neu erstellt. 
klingt nicht nur nach einem Virus vermutlich ein trojaner. 
man hat ja in den letzten Monaten viel gehört von gehackten joomla seiten. 
darum gehe ich hier stark von einem Angriff aus. 

Jetzt hab ich eine pro Version von Avast Business Server schutz geholt. 
nichts mehr mit den Avira scheisse. 
wen jetzt der server damit ruhig läuft war es auch ein angriff. 

Ich melde mich Morgen nochmal wen ich die logdateien mir angesehen hab ok

lg jens
 

So hab nun mal die Joomla dateien neu eingefügt und überschrieben. 
aber es kommt immer noch die gleiche Meldung. 

Wenn durch einen Hack zusätzliche Ordner und Dateien auf dem Server generiert wurden, dann werden diese nicht durch ein erneutes hochladen der Core-Dateien gelöscht oder gesäubert, sie sind dann immer noch da. Deshalb empfiehlt es sich auch nach einem Hack, falls ein 'sauberes' Backup vorhanden ist, vorher alles komplett zu löschen, bevor das Backup zurückgespielt wird.

man hat ja in den letzten Monaten viel gehört von gehackten joomla seiten.

Kannst du mir bitte sagen wo du das gehört hast?

Was war das denn für eine Joomla-Version, die da gehackt wurde?

Hallo @Tribal6

Mittlerweile hat sich das Problem gelöst durch ein Backup. Wie ich oben es beschrieben habe. zu deiner frage wo ich dies gehört haben soll
z.b. hier im Forum: www.joomla.ch/forum/joomla3-allgemein/36...hackt-worden-was-nun
Auch von anderen Seiten ebenfalls wie im official Forum von Joomla.

LG
Jens