Joomla! wurde gehackt! Was muss ich tun?
In den folgenden Zeilen erklären wir Ihnen was Sie bei einem Joomla Angriff tun müssen, sobald Ihre Internetseite gehackt wurde.
1. Website deaktivieren und vom Netz nehmen
Warum Sie dies tun sollten?
Eine gehackte Joomla Seite kann eigene Schäden und Schäden bei Dritten verursachen. Z.B. durch Phishingscripte, Spam Aktionen (E-Mails), illegale Downloads usw. Der Domaineigentümer wäre für derlei Schäden haftbar. Schadensminimierung ist somit erste Pflicht! Außerdem muss der Zustand der Seite „eingefroren“ werden, damit die Daten störungsfei untersucht werden können.
Um den Einbruch untersuchen zu können sollten Sie eine Kopie der gehackten Seite erstellen.
Wie Sie das tun können?
– Beste Möglichkeit: Passwortschutz setzen (.htaccess) und Basisverzeichnis umbenennen
– Wartungsseite erstellen (Geben Sie nicht gleich öffentlich bekannt, dass Sie gehackt wurden, da dies nur ein schlechtes Licht auf Sie werfen würde. Erstellen Sie lieber eine Seite auf der Sie zum Beispiel angeben, dass die Seite wegen Umbauarbeiten vorübergehend nicht erreichbar ist.)
– Alle Zugriffsmethoden auf Daten deaktivieren oder ändern (FTP, SSH etc.).
– Daten und Datenbank auf den lokalen Rechner sichern
– Alle Daten inkl. Datenbank herunterladen und vom Server löschen
Wichtig: Das einfache offline-Schalten über die Joomla!-Funktion reicht nicht aus!
2. Einbruch untersuchen und Sicherheitslücke finden
Warum Sie dies tun sollten?
Die Sicherheitslücke, wo sich der Hacker Zugriff erlangt hat, muss unbedingt gefunden werden um solche Angriffe für die Zukunft zu vermeiden! Sollten Sie einfach wieder ein Backup einzuspielen, mit der vorhandenen Lücke, kann dazu führen, dass die Website schnell erneut gehackt wird.
Wie Sie das tun können?
Die Lücke zu finden ist nicht immer ganz einfach. Aber man kann folgendes auf ausfällige Änderungen überprüfen:
– Wann wurden die Dateien geändert (Zeitstempel = Timestamp)
– FTP-Protokoll überprüfen
– Webserver-Protokoll (Access- und Error-Logs) / Sollten diese nicht zur Verfügung stehen, so muss der Hoster der Internetseite kontaktiert werden.
– Eigenen PC nach Trojanern untersuchen
– Alle in Joomla eingerichteten User prüfen! Gibt es ggf. unbekannte Super-Admins?
– Nach typischen Mustern in den Dateien suchen (z.B. „base64“, „iframe“ etc.)
– Vergleich aller Dateien inkl. Inhalte mit Sicherungsdaten (gutes Tool dafür ist „WinMerge“)
3. Löschen Sie die infizierten Daten, saubere Sicherung hochladen, unbedingt Passwörter ändern
Warum Sie dies tun sollten?
Angreifer hinterlassen fast immer Backdoor-Scripte, über die sie dann später jederzeit die Kontrolle über den Webspace bekommen ohne dass es neue Sicherheitslücken geben muss. Deswegen sollten alle Dateien und alle Datenbankinhalte gelöscht werden und erst dann eine saubere Sicherung (zeitlich vor dem Angriff) zurückgespielt werden.
Vor dem Zurücksichern alle FTP-Passwörter neu setzen!
TIPP: Nach dem Zurücksichern alle Joomla!-Passwörter der Superadmins ändern!
Wie Sie das tun können?
– Folgende Passwörter ändern
– FTP-Passwort
– MySQL-Passwort
– Zugang zum Hostinganbieter
– Dateien per FTP löschen und Sicherung per FTP hochladen.
– Datenbankinhalt per phpMyAdmin löschen und Sicherungsdump importieren.
– Im Joomla!-Backend alle Superadmin-Accounts und deren Emailadressen prüfen und Passwörter ändern!
WICHITG: An dieser Stelle scheitern leider viele User, weil keine Sicherungen des Webspaces und der Internetseite existieren!
Sollte das der Fall sein, müssen alle Aktivitäten des Angreifers exakt anhand des Logs untersucht werden, damit man tatsächlich alle benutzten/erzeugten Dateien findet und entfernen kann.
Es ist unbedingt anzuraten, monatliche Sicherungen durchzuführen um somit bei solchen Angriffen eine funktionsfähige Sicherung wiederherstellen zu können.
4. Lücke schließen, Seite wieder freigeben
Es ist mehr als wichtig das die Sicherheitslücken geschlossen werden, da Sie so nicht nur die Möglichkeit selbst wieder gehackt zu werden verringern, sondern auch den Missbrauch Ihres Server durch Dritte verhindern. Deshalb ist es wichtig, dass die Lücke geschlossen wird und erst danach darf die Website wieder freigeschaltet werden.
HINWEIS: Erst nach Schließung der Lücke darf eine Seite wieder frei gegeben werden.
Wie Sie das tun können?
– Meistens handelt es sich um veraltete Scripte, die geupdated werden müssen.
– Hinweise auf Lücken und verfügbare Updates findet man in der Joomla!-Community.
5. Website gegen Angriffe absichern
Verärgerung der Kunden, hohe Kosten bei der Wiederherstellung der Seiten und eventuelle neue Angriffe sind gute Gründe warum Sie sich jetzt mehr mit dem Thema Sicherheit beschäftigen sollten.
– Ist meine Internetseite gut geschützt
– Sind aktuelle Versionen von Joomla!, Joomla! Core Features und anderen Features vorhanden
– Wie kann ich ein Backup regelmäßig erstellen und bei Bedarf auch einspielen
– …..
Diese und weitere Fragen beantworten wir Ihnen gerne. Nehmen Sie dazu einfach Kontakt zu uns auf.
E-Mail: info@mast-media.de
Telefon: 05033/9819310
Ansprechpartner: Martin Mast
Internet: www.mast-media.de