THEMA:

Ja klar, mit FTP geht so ziemlich alles. Der Aufwand ist aber um einiges grösser - nur für einen Account.

Mit dem Ausnützen einer Lücke auf einer Webseite, also mit HTTP/S, kann man automatisiert nahezu dieselbe Funktionalität auf vielen Seiten gleichzeitig erreichen.
Indem z.B. ein simpler Dateiupload versteckt installiert wird.

..Danke Roger für deine ausführliche Einschätzung ....
Hoffe aber, dass solcher "Scheiss" nicht einfach ist, sonst verliere ich die Freude ....

Stefan

Hallo Roger,

eventuell sowas? kubik-rubik.de/jcs-joomla-checksum-scanner

Liebe Grüße
Christine

Runner.one schrieb:

nun, der Hoster hat mir ein Backup eingespielt, und die Seite gescannt, nun sei wieder alles i.O.
Die Version war wie gesagt topaktuell 3.9.27, auch die Erweiterungen habe ich jederzeit auf neuestem Stand.
Der Adminzugang war wie erwähnt zusätzlich mit .htaccess abgesichert - was kann ich mehr tun?

Hier die Antwort des Hosters:
"Woher genau der Zugriff stattgefunden hat, lässt sich im Nachhinein nur sehr schwierig feststellen.
Es müsste sich aber um eine Sicherheitslücke bei Joomla oder einem eingesetzten Plugin / Template handeln, denn mit malware infizierte Dateien können normalerweise nicht via FTP hochgeladen werden."

Stefan

 

Witz komm heraus, du bist umzingelt...
Da war der Hoster wohl schneller mit Restoren, in den Logs ist (wäre) doch da vieles abzulesen (gewesen) aber natürlich peinlich, wenn's dem Hoster selbst dann auf die Füsse fällt... Aber ich hab zum Glück ja keine Ahnung... Aber ich bin überzeugt, dass bei meinem Hoster enorm viel unternommen wird, dass dies nicht so weit kommen kann.
... und Schadsoftware im Root muss ja nicht zwangsläufig was mit Joomla zu tun haben, schafft es mal hier präparierte Files hinzulegen ist doch alles möglich auch ohne Joomla!

@christine

Ja, genau, in etwa so was.

Einfach einen Check der zuverlässig auf geänderte oder neue Files prüft.Und auch benachrichtigt (per Mail o.ä.) falls etwas gefunden wird.

So kann man quasi in Echtzeit reagieren (solange die 'guten'  Backups noch 'frisch' sind) und sieht andererseits genau, was wo gemacht wurde. Und zusammen mit dem aktuellen Access-Log lässt sich so dann auch ev. die Lücke finden.

LG
R