Joomla! Seite gehackt was nun?
Die Postings über gehackte Joomla! Seiten nehmen immer mehr zu. In zahlreichen Foren beklagen sich User darüber, dass Ihre Websites manipuliert oder sogar unbrauchbar gemacht wurden. Dies hängt nicht zuletzt mit der Nachlässigkeit einiger Administratoren zusammen, die es nicht einsehen eine funktionstüchtige Website zu aktualisieren. Doch leider ist das gerade bei Joomla! ein absolutes Muss!
Für alle, die das bis jetzt versäumt haben, sei eine regelmäßige AKtualisierung empfohlen. Für die Unglücklichen, bei denen das Kind bereits in den Brunnen gefallen ist, soll die nun folgende Spurensuche und Fehlerbehebung eine kleine Hilfe sein:
- Daten sichern (sofort!). Auch wenn die Seite selbst nicht mehr läuft ist es wichtig den "Ist-Zustand" auf einen sicheren Datenträger zu bekommen. Joomla selbst kann man relativ leicht wieder zum Laufen bewegen und reparieren, alle Artikel und Einträge in der Datenbank sind aber für immer verloren wenn zu gründlich und unüberlegt reagiert. Zu diesem Zeitpunkt nicht die Backupfunktion des Hoster benutzen, man überschreibt sonst das letzte funktierende Backup das retten könnte. Richtet einen neuen Ordner auf eurer Festplatte an und speichert dort die Daten. Hier eine Liste wie man vorgehen sollte…
- Die Datenbank selbst mit phpmyadmin sichern, das ist das wichtigste an Joomla!
- Den kompletten Ordner des verwendeten Templates
- Den Ordner "images" damit die Bilder und Grafiken in Artikeln nicht verloren gehen.
- Ist eine Galerie vorhanden müssen auch dort die Ordner mit den Bildern gesichert werden.
- Je nach anderen Komponenten (z.B. Forum auch das Verzeichnis mit den Avataren der Benutzer) auch dort Daten sichern die nicht bei Joomla enthalten sind oder sich nicht nachträglich installieren lassen.
- Hoster informieren. Logfiles sichern (lassen) und schauen ob ungewöhnliche URL’s aufgerufen wurden. Hier findet man einen Hinweis wo der Angreifer eindrigen konnte und sich die potenzielle Schwachstelle befindet. Dieser Schritt ist ebenfalls wichtig wenn man Anzeige bei der Polizei erstatten möchte. Der Hoster könnte es bemerkt haben, muß es aber nicht zwangsläufig. Diese Information ist aber wichtig für ihn damit er kontrollieren kann ob evtl. weitere Programme ausserhalb von Joomla auf dem Server installiert wurden. Einfach eine kurze Mail mit eurem Webpaket, Namen und kurzer Info was passiert ist. Dies kann auch nützlich sein wenn der Hoster selbst für seine Kunden keine eigene Backup-Funktion anbietet, sie aber doch intern auf seinen Servern laufen lässt. Manche Hoster machen sich die Mühe dann gezielt nach euren Daten zu suchen. Teilweise gegen kleines Entgeld, fast immer aber als Support. Diesen Service benötigt man aber nicht wenn man (hoffentlich) selbst ein Backup angefertigt hat.
- Da man nicht kontrollieren kann wo von den Angreifern überall Veränderungen vorgenommen wurden ist es nicht ratsam einfach die beschädigten Dateien neu aufzuspielen. Einfach Joomla neu aufspielen reicht eindeutig nicht! Habt ihr alle wichtigen Daten gesichert löscht den kompletten Webspace. Man kann nicht wissen was dort so an Hintertüren eingebaut wurde. Dies sollte man auch tun wenn man ein aktuelles Backup aufspielt. Programme wie z.B. Confixx überschreiben zwar vorhandene Dateien und Ordner, lassen aber alles andere stehen was sich nicht mit im Paket befindet.
- Ist der Webspace sauber kann man das Backup aufspielen oder (falls nicht vorhanden) Joomla frisch installieren. Danach muß man aber sofort tätig werde um nicht erneut zur Zielscheibe zu werden.
- Benutzt man ein Backup bitte sofort (!) alle Komponenten überprüfen und neuere Versionen installieren. Das dein Joomla gehackt wurde hatte einen Grund, und genau diesen muß man sofort absichern. Alles was nicht zwingend für eure Seite benötigt wird sofort deinstallieren. Die Rechte der Dateien und Ordner bitte nach der Anleitung von Micha entsprechend anpassen. Er hat dort eine sehr gute Anleitung geschrieben (Link siehe ganz oben).
- Steht kein Backup zur Verfügung spielt man zuerst Joomla auf und ersetzt dann die Datenbank gegen seine Sicherung von vorhin. Auch hier werden alle Komponenten nur in der aktuellen Version installiert. Ist man sich unsicher ob ein Projekt noch gepflegt wird lässt man besser die Finger davon.
- Sind die Komponenten installiert schaut man kurz in die Ordner der gesicherten Daten (die der Komponenten). Sind bei der Galerie auch wirklich nur Bilder drin? Ist man sich sicher kann man die Daten wieder auf den Webspace übertragen.
- Läuft die Seite wieder sollte man trotzdem nochmal einen Blick auf die Dateirechte werfen und nach anderen Schwachstellen suchen. Ist das RegisterGlobals wirklich nötig? Ist die .htaccess mit dem Schutz von joomla.org ausgestattet?
Das beste Mittel ist aber noch immer sein Joomla und die verwendeten Komponenten aktuell zu halten. Das erspart jede Menge Nerven und Arbeit die man sinnvoller verbringen könnte. Ziel ist nicht das Joomla irgendwie läuft, Ziel ist das es sicher läuft und nicht mehr Schwachstellen als nötig bietet.
Mehr Wissenwertes und weitere Tutorials gibt es unter:
Joomla! Seite gehackt was nun?
You can follow all the replies to this entry through the comments feed.
- By on 16.08.2006 at 21:51
Ich kann eigentlich nur anraten, den Server neu aufzusetzen. Bei einer mir bekannten Installation wurde über eine Sicherheitslücke diverse Perl scripte aufgespielt die dann am Wochenende massenhaft e-mail verschicken sollten. Glück dabei war, dass auch ausgehende mails über den Virenchecker liefen und dieser ein Nadelöhr wurde. Ansonsten hätte ich wohl meinen Traffic beim Provider überschritten und es wäre teuer geworden. Welche modifikationen vorgenommen wurden lies sich nicht vollständig nachvollziehen.
Vorteilhaft war auch als erste Hilfe die Firewall des Providers.