Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 03. Januar 2012 10:18

Minni
hat von CMS/ms gehört
Registriert: 09. Dezember 2011
Beiträge: 5

Webseite gehackt - was tun?

Hallo Leute,
kaum habe ich angefangen, habe ein neues Problem. sad

Mein Avira hat beim Öffnen meiner Website angezeigt, dass sich drauf ein Virus befindet: js/decdec.psc

Ich habe im Upload-Ordner eine Datei gefunden, die vorher gar nicht da war, cronfile.php. Die habe ich sofort gelöscht.
Dann habe ich über Filezilla eine Suche durchgeführt und auch in den Ordner ../lib, ../lib/dynamic_tabs und ../modules/MenuManager fremde Dateien mit selben Namen.

Dann habe ich auch gesehen, dass die JavaScript-Dateien, die sich in den o.g. Ordnern befinden, neues Datum haben, denselben Datum wie die cronfile.php

Reicht es, die cronfile.php zu löschen? Muss ich die js-dateien neu hochladen?

Wie kommen die Dateien überhaupt dort hin?

Ich dachte immer, dass die Hoster sowas verhindern müssen.  sad

Offline

#2 03. Januar 2012 10:50

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.927
Webseite

Re: Webseite gehackt - was tun?

  • Backup der Dateien und der Datenbank erstellen

  • Komplette Installation löschen (auch alle anderen Daten auf dem Webspace)

  • Lokal bei dir auf dem PC den uploads-Ordner prüfen und alles löschen, was nicht von dir ist

  • Passwort von Server, Datenbank und FTP ändern

  • die gleiche CMSMS Version installieren, welche du installiert gehabt hast, wieder auf dem Server installieren. Dabei eine neue Datenbank anlegen.

  • Alle Module installieren, welche du installiert hattest, wieder installieren (gleiche Version wie bisher)

  • In der config.php die Datenbank-Daten wieder auf die alte Datenbank linken oder das Backup der Datenbank über die neue Datenbank importieren

  • neue Passwörter für die Backend-User erstellen

  • Alle Module aktualisieren

  • Die Installation auf 1.12.1 aktualisieren (vorher auf die 1.9.4.3 und dann 1.10.3 aktualisieren)

Anschließend musst du kontrollieren, ob an der DB keine Änderungen erfolgt sind:

  • Template kontrollieren

  • Modul-Inhalte/-Templates kontrollieren

  • Benutzerdefinierte Tags kontrollieren

  • Globale Inhaltsblöcke kontrollieren

  • Inhalte der einzelnen Seiten kontrollieren

Nun kannst du nochmals mit Avira schauen, ob dein Webspace frei von Malware ist. Schaue dies auch mit deinem Hoster an.

Ganz Grundsätzlich: Immer die Installation auf die neuste Version von CMSMS aktualisieren. Nur so ist sicher gestellt, dass die Installation möglichst sicher ist. Zusätzlich kannst du in der .htaccess Sicherheitseinstellungen vornehmen. Siehe dazu die Signatur von NaN.

Edit: Versionen angepasst

Beitrag geändert von nockenfell (16. September 2015 13:05)


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#3 03. Januar 2012 11:16

Minni
hat von CMS/ms gehört
Registriert: 09. Dezember 2011
Beiträge: 5

Re: Webseite gehackt - was tun?

Danke! smile
Ich werde es so machen.
Es ist schon Mist, so viel Arbeit.

Offline

#4 03. Januar 2012 11:35

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.927
Webseite

Re: Webseite gehackt - was tun?

Da kommst du nicht drum herum. Bei einem Computer ist es ähnlich: Um sicher zu sein, dass ein Viren definitiv entfernt ist, sollte der PC auch neu aufgesetzt werden.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#5 17. September 2015 12:26

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: Webseite gehackt - was tun?

Zu ergänzen wäre noch, die Berechtigungen der CMSMS Verzeichnisse und Dateien kritisch zu prüfen.

Im Regelfall werden nur auf die Verzeichnisse /uploads und /tmp und deren Dateien externe Lese- und ggf. Schreibzugriffe benötigt. Alle anderen Verzeichnisse/Dateien sind ausschließlich für den Server wichtig.

Ist aber unter Umständen von der Server-Konfiguration abhängig, was da funktioniert - also ausprobieren!!

Außerdem bei den ganzen Maßnahmen natürlich auch nicht vergessen, auf dem Host laufende Fremd-Scripte wie etwa Shops, Foren, Blogs etc. zu prüfen/aktualisieren/etc. wink. Nicht selten sind es Fremd-Scripte, die überhaupt erst ein Eindringen ermöglichen. Gerade Wordpress steht da ja häufiger mal unter Beschuss ...

Offline