Webseite gehackt - was tun?

Minni · 03. Januar 2012 10:18

Hallo Leute,
kaum habe ich angefangen, habe ein neues Problem. sad

Mein Avira hat beim Öffnen meiner Website angezeigt, dass sich drauf ein Virus befindet: js/decdec.psc

Ich habe im Upload-Ordner eine Datei gefunden, die vorher gar nicht da war, cronfile.php. Die habe ich sofort gelöscht.
Dann habe ich über Filezilla eine Suche durchgeführt und auch in den Ordner ../lib, ../lib/dynamic_tabs und ../modules/MenuManager fremde Dateien mit selben Namen.

Dann habe ich auch gesehen, dass die JavaScript-Dateien, die sich in den o.g. Ordnern befinden, neues Datum haben, denselben Datum wie die cronfile.php

Reicht es, die cronfile.php zu löschen? Muss ich die js-dateien neu hochladen?

Wie kommen die Dateien überhaupt dort hin?

Ich dachte immer, dass die Hoster sowas verhindern müssen. sad

nockenfell · 03. Januar 2012 10:50

Backup der Dateien und der Datenbank erstellen
Komplette Installation löschen (auch alle anderen Daten auf dem Webspace)
Lokal bei dir auf dem PC den uploads-Ordner prüfen und alles löschen, was nicht von dir ist
Passwort von Server, Datenbank und FTP ändern
die gleiche CMSMS Version installieren, welche du installiert gehabt hast, wieder auf dem Server installieren. Dabei eine neue Datenbank anlegen.
Alle Module installieren, welche du installiert hattest, wieder installieren (gleiche Version wie bisher)
In der config.php die Datenbank-Daten wieder auf die alte Datenbank linken oder das Backup der Datenbank über die neue Datenbank importieren
neue Passwörter für die Backend-User erstellen
Alle Module aktualisieren
Die Installation auf 1.12.1 aktualisieren (vorher auf die 1.9.4.3 und dann 1.10.3 aktualisieren)

Anschließend musst du kontrollieren, ob an der DB keine Änderungen erfolgt sind:

Template kontrollieren
Modul-Inhalte/-Templates kontrollieren
Benutzerdefinierte Tags kontrollieren
Globale Inhaltsblöcke kontrollieren
Inhalte der einzelnen Seiten kontrollieren

Nun kannst du nochmals mit Avira schauen, ob dein Webspace frei von Malware ist. Schaue dies auch mit deinem Hoster an.

Ganz Grundsätzlich: Immer die Installation auf die neuste Version von CMSMS aktualisieren. Nur so ist sicher gestellt, dass die Installation möglichst sicher ist. Zusätzlich kannst du in der .htaccess Sicherheitseinstellungen vornehmen. Siehe dazu die Signatur von NaN.

Edit: Versionen angepasst

Beitrag geändert von nockenfell (16. September 2015 13:05)

Minni · 03. Januar 2012 11:16

Danke! smile
Ich werde es so machen.
Es ist schon Mist, so viel Arbeit.

nockenfell · 03. Januar 2012 11:35

Da kommst du nicht drum herum. Bei einem Computer ist es ähnlich: Um sicher zu sein, dass ein Viren definitiv entfernt ist, sollte der PC auch neu aufgesetzt werden.

Andynium · 17. September 2015 12:26

Zu ergänzen wäre noch, die Berechtigungen der CMSMS Verzeichnisse und Dateien kritisch zu prüfen.

Im Regelfall werden nur auf die Verzeichnisse /uploads und /tmp und deren Dateien externe Lese- und ggf. Schreibzugriffe benötigt. Alle anderen Verzeichnisse/Dateien sind ausschließlich für den Server wichtig.

Ist aber unter Umständen von der Server-Konfiguration abhängig, was da funktioniert - also ausprobieren!!

Außerdem bei den ganzen Maßnahmen natürlich auch nicht vergessen, auf dem Host laufende Fremd-Scripte wie etwa Shops, Foren, Blogs etc. zu prüfen/aktualisieren/etc. wink . Nicht selten sind es Fremd-Scripte, die überhaupt erst ein Eindringen ermöglichen. Gerade Wordpress steht da ja häufiger mal unter Beschuss ...

Forum für CMS/made simple

#1 03. Januar 2012 10:18

Webseite gehackt - was tun?

#2 03. Januar 2012 10:50

Re: Webseite gehackt - was tun?

#3 03. Januar 2012 11:16

Re: Webseite gehackt - was tun?

#4 03. Januar 2012 11:35

Re: Webseite gehackt - was tun?

#5 17. September 2015 12:26

Re: Webseite gehackt - was tun?

Fußzeile des Forums