• 27.04.2024, 08:02
  • Registrieren
  • Anmelden

  • Sie sind nicht angemeldet.

 

Webseite (joomla) gehackt... was nun?

Lieber Besucher, herzlich willkommen bei: Aqua Computer Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

  • 1
  • 2

Man_In_Blue

Moderator

Beiträge: 22 707

Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 00:38

Hi,

mir wurde ne webseite gehackt, die Seite basiert(e) auf Joomla 1.5...

Was sind nun die sinvollsten nächsten schritte? Gibts ne einfache Lösung um die Webseite wiederherzustellen ohne das alle webinhalte verloren gehen?

Kann ich dagegen rechtlich vorgehen? Oder gibts da keine rechtliche Handhabe weil die Penner offensichtlich ausem Orient kommen?

bin ziemlich geladen... in letzter Zeit häuft es sich das Leute aus der Region mir Grundlos mein Hab und Gut zerstören... da bekomm ich echt Hass...

Man In Blue
A sinking ship is still a ship!

TrOuble

God

Beiträge: 9 461

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 00:57

Moin,

natürlich sehr, sehr ärgerlich das Ganze >:(
Ich würde dir Raten den Zugang zur Seite erstmal per htaccess zu beschränken und dann ein Backup von der Website wieder aufzuspielen. Danach alle Upates von Joomla installieren und nen Eintrag über das Ganze in die Mailingliste (hat Joomla sowas) sowie ins Entwicklerforum kann auch nicht schaden.

Gruß TrOuble

Safti

Senior Member

Beiträge: 1 033

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 01:24

mit hoher wahrscheinlichkeit wurde dir nur ne neue startseite hinterlegt.. solange keine dateien gelöscht wurden und insbesondere die datenbank nicht angefasst wurde: einfach alles, was sich ab nem bestimmten zeitpunkt geändert hat löschen und die Orginal-Startseite aus dem Backup wieder einspielen.. Und danach regelmäßige Updates fahren, damit es nicht wieder passiert  :)

nachtrag: ach ja.. nimm es nicht persönlich, solche "hacker" suchen im google nach nicht ganz aktuellen softwareinstallationen und lassen dann vollautomatisiert durch ein skript eine neue startseite einspielen..
V: Cuplex (sock. 478), Twinplex (gf-4 halterung), Airplex-Classic, Eheim 1046, div. Winkel, 2 Gehäusedurchführungen... alles Plug'n'Cool

Man_In_Blue

Moderator

Beiträge: 22 707

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 01:36

jo mir schon klar das des en script kiddi war und das meine nicht gut gepflegtes joomla das ermöglicht hat...

aber muss sowas denn sein? Also bei absolut sinfreier kriminalität bin ich ja direkt wieder für Folter und schlimmeres...

Man In Blue
A sinking ship is still a ship!

iNFiNiTE

God

Beiträge: 4 172

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 10:48

ist ansichtssache, aber irgendwo bist du wohl auch selbst schuld. ist aehnlich wie mit windows, wer da nicht forlaufend moeglichst in -1 sekunden die updates einspielt ist schneller offen wie ein scheunentor als dass er weihnachtsmann auf chinesisch sagen kann.
es wird immer script kiddis geben genauso wie es immer irgendwelche horste geben wird die scheiben einschlagen, nur eben der scheibe wegen. damit muss man leben und sich moeglichst gut absichern.
Multiswitch Script Generator NG | Aquaero2Multiswitch | Ae Relais | Verkaufe AT Plexi!

UltrasNoFans

Full Member

Beiträge: 178

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 10:54

Ich würd mal versuchen, im Apache (falls im Einsatz) oder eben sonstigen Webserver Logs nachzuvollziehen wie das passieren konnte. Oder was überhaupt passiert ist.

Sicherheitshalber alle PWs ändern. Und dann erst dran machen, wieder die joomla Page on zu stellen. Vorübergehend kannst ja eine Wartungspage einstellen.

Aber bevor ich nicht weiss, was überhaupt passiert ist, mach ich mich sicher nicht an die Arbeit die Page wieder herzustellen, Updates machen, Backups rücksichern etc...

Wär ja sinnlos, das alles zu machen um vlt. paar Minuten später festzustellen, dass der lustige Typ vlt nur drauf wartet wieder was zerstören zu können.


lg
Verkaufe: AC Aquagratix für die ATI HD4850 in TOP Zustand. Bei Interesse bitte PN ;)

TrOuble

God

Beiträge: 9 461

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 12:09

Ansonsten würde ich die empfehlen mal öfters bei den Sicherheitsupdates von den Joomla Entwicklern vorbei zu schauen:
http://developer.joomla.org/security/news.html

Alternativ kannste das ganze auch direkt als feed abonnieren:
http://feeds.joomla.org/JoomlaSecurityNews

Gruß TrOuble

TheJoker

God

Beiträge: 4 210

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 14:12

Interessehalber: Welche Joomla version aus der 1.5 Linie war denn im Einsatz?
C programmers never die. They are just cast into void. Neues moddingtech.de Portal online!

cuto8

Full Member

Beiträge: 552

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 18:15

Zitat von »Safti«


nachtrag: ach ja.. nimm es nicht persönlich, solche "hacker" suchen im google nach nicht ganz aktuellen softwareinstallationen und lassen dann vollautomatisiert durch ein skript eine neue startseite einspielen..

Vor dem Hintergrund wundert mich auch immer wieder das Alter der AC-Foren-Software...

Y0Gi

God

Beiträge: 12 708

Re: Webseite (joomla) gehackt... was nun?

Mittwoch, 12. November 2008, 18:41

Erstens ist Perl nicht mit den Unzulänglichkeiten von PHP ausgestattet und zweitens ist die Popularität vom in der Entwicklung längst eingestellten YaBB gegenüber Joomla doch *sehr* begrenzt ;)
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Y0Gi

God

Beiträge: 12 708

Re: Webseite (joomla) gehackt... was nun?

Donnerstag, 13. November 2008, 14:19

Mensch Sören, nimm' doch wenigstens endlich die Defacement-Seite runter, oder willst du den Vögeln noch großartig eine Plattform geben und die Besucher der Seite verwirrt zurück lassen? Pack' da 'ne Seite mit ein, zwei Sätzen zur Situation hin und gut ist.

Dann sieh deine Logfiles durch! Wenn es sich um eine PHP-, SQL- oder möglicherweise JS-Injection-Attacke handelte, die per Query-String funktionierte, dann solltest du es da sehen können. Das ist die essentielle Grundlage dafür, *dieses* Einfallstor für die Zukunft zu schließen - und vielleicht auch gleich noch diverse andere mit.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

iNFiNiTE

God

Beiträge: 4 172

Re: Webseite (joomla) gehackt... was nun?

Donnerstag, 13. November 2008, 16:50

da isse ja, wenn auch recht unaktuell, wenn die news zumindestens aus einem backup stammen.

mib, fuer eine neue version wuerd ich mal alle diese druck/acrobat/whatever symbole entfernen.. bei langen texten sicherlich nuetzlich, aber ne _NEWS_ von drei zeilen wird wohl keiner ausdrucken wollen.
Multiswitch Script Generator NG | Aquaero2Multiswitch | Ae Relais | Verkaufe AT Plexi!

UltrasNoFans

Full Member

Beiträge: 178

Re: Webseite (joomla) gehackt... was nun?

Donnerstag, 13. November 2008, 17:18

Ich würde allgemein diese veralteten News löschen oder archivieren und über die Downtime kurz 1-2 Sätze mitteilen. (für ein EDV Unternehmen, ist eine Downtime, welche durch Hacker verursacht wurde, nicht sehr förderlich) Zumindest meiner Meinung nach.

Bzgl. der Drucker etc. Symbole, würd ich auch bei so kurzen News weglassen. Bei Dokumenten die sich lohnen auszudrucken, können diese Dinger natürlich sehr hilfreich sein. Aber eben nur bei z.B.: Produkt - und Leistungsblätter

lg
Verkaufe: AC Aquagratix für die ATI HD4850 in TOP Zustand. Bei Interesse bitte PN ;)

Y0Gi

God

Beiträge: 12 708

Re: Webseite (joomla) gehackt... was nun?

Donnerstag, 13. November 2008, 17:25

Zitat von »messi«

da isse ja, [...]

Jetzt wieder, ja. Zum Zeitpunkt meines vorigen Postings und die zwei Tage davor nicht.


Mal ehrlich, es geht hier doch um ein Gewerbe. *Gerade* als Anbieter von Web-Lösungen und Hosting kann man doch nicht, wenn sowas schon vorgefallen ist, tagelang das Defacement zur Schau stellen. Da laufen einem doch die Kunden weg.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

UltrasNoFans

Full Member

Beiträge: 178

Re: Webseite (joomla) gehackt... was nun?

Donnerstag, 13. November 2008, 17:35

Das ist auch etwas was mich bisschen schockiert hat. Aber was noch bedenklicher ist, dass der Admin der Site in einem Wakü Forum nachfragt, was er nun machen soll.

Ich mein, Tipps schön und gut... aber wenn man Leistungen für Kunden anbietet, dann sollte man auch Lösungen für solche Probleme parat haben (wie funktionierendes Backup, aktuelle Software, etc.) und auch über die rechtliche Lage Bescheid wissen.

lg
Verkaufe: AC Aquagratix für die ATI HD4850 in TOP Zustand. Bei Interesse bitte PN ;)

Y0Gi

God

Beiträge: 12 708

Re: Webseite (joomla) gehackt... was nun?

Donnerstag, 13. November 2008, 18:36

Der Firmeninhaber ist offenbar zufällig mit der hiesigen, in diesem Thread nachfragenden Forenlegende "Man_In_Blue" identisch ;)

Wenn es dir um das Forum geht: Hier geht es *sehr* viel Kompetenz unter den Mitgliedern, die weit über das Thema Wakü hinaus geht - in die verschiedensten Bereiche.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

iNFiNiTE

God

Beiträge: 4 172

Re: Webseite (joomla) gehackt... was nun?

Donnerstag, 13. November 2008, 18:42

wahrscheinlich ist das ganze mehr als ne art visitenkarte von ner one man show (mib himself ;D) zusehen.. da werden eher weniger leute spontan draufklicken..
Multiswitch Script Generator NG | Aquaero2Multiswitch | Ae Relais | Verkaufe AT Plexi!

UltrasNoFans

Full Member

Beiträge: 178

Re: Webseite (joomla) gehackt... was nun?

Freitag, 14. November 2008, 10:16

Zitat von »Y0Gi«

Der Firmeninhaber ist offenbar zufällig mit der hiesigen, in diesem Thread nachfragenden Forenlegende "Man_In_Blue" identisch ;)

Wenn es dir um das Forum geht: Hier geht es *sehr* viel Kompetenz unter den Mitgliedern, die weit über das Thema Wakü hinaus geht - in die verschiedensten Bereiche.


Das ist mir schon klar, dass hier viel Kompetenz vorhanden ist und das steht auch außer Frage.

Mir geht es darum, dass jemand der ein Service (eben wie hier Webhosting etc) kommerziell anbietet, auch dementsprechend kompetent zu Werke gehen sollte und wissen sollte, was in diesem und jenem Fall zu machen ist. Als Kunde würde ich mir dreimal überlegen, meine Daten auf einen Server von jemanden legen zu lassen, der sich bei einem Problemfall erstmal bei Dritten erkundigen muss, was zu tun ist.

Ich hoffe du weißt was ich meine...

lg

Verkaufe: AC Aquagratix für die ATI HD4850 in TOP Zustand. Bei Interesse bitte PN ;)

Y0Gi

God

Beiträge: 12 708

Re: Webseite (joomla) gehackt... was nun?

Freitag, 14. November 2008, 11:05

Allerdings. Man könnte natürlich argumentieren, dass nachfragen immer besser ist als es selbst eigenständig gegen die Wand zu fahren.

Zumindest aber der von mir genannte Punkt mit dem Entfernen der Defacement-Seite besagt schon, dass MIB hier durchaus (früher) etwas mehr Mühe und Durchhaltevermögen hätte zeigen dürfen.

Dennoch ist auch der Punkt richtig, dass eine "Visitenkartenpräsenz" einer kleinen Firma jetzt nicht so riesige Zugriffszahlen hat und der reine Ausfall für denen einen oder anderen Tag nicht zu verkraften wäre. Wenn genau dann natürlich ein potentieller Kunde herein schaut (etwa, weil ihm die Adresse persönlich empfohlen wurde), hat man den eben möglicherweise dann vergrault.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

Man_In_Blue

Moderator

Beiträge: 22 707

Re: Webseite (joomla) gehackt... was nun?

Freitag, 14. November 2008, 14:51

Huhu...

also das BackUp stammt aus ner nicht fertigen Version der Webseite wie (unschwer) zu erkennen ist...

Die Webseite ist oder war mal als Vesitenkarte mit anderem Inhalt gedacht ist aber dann mehr zu nem Demoprojekt für mich geworden um vorallem den Umgang mit Designeelemten und umsetzung vom Templates zu üben... Die Seite wurde daher auch nie veröffentlicht oder dergleichen... daher hatte dieser Hack für mich auch keine großen Folgen (wenn man davon absieht das en haufen einstellungen im Joomla abhanden gekommen sind und der Kontent weg ist...). Und das ist auch der Grund warum ich so gemächlich bin was die wiederherstellung der Seite angeht...

Die schritte waren bislang nur das aufspielen eines BackUps... das rücksetzen des Adminkennworts in der Datenbank, das aufspielen der akutellen Joomla Version... am wochenende werd ich mich mal durch en paar Tuts bezöglich der sicherheitslücken quählen...

@ UltrasNoFans:

Wein doch... bzw. s.o. - Ich habe nie gewerblich eine Joomla Seite vertrieben... und hab es in naher zukunft auch nicht vor...

Zudem war die Fragen ob man die Webinhalte (welche nicht als BackUp vorliegen) wiederherstellen kann...

Man In Blue
A sinking ship is still a ship!
  • 1
  • 2