Prepaid-Wiki wurde gehackt!

Leute, ich stehe jetzt vor einem für mich alleine wohl kaum lösbaren Problem und bitte die Experten um Mithilfe!

Ich bekam eben vom Serverbetreiber die Mail, dass meine Webseite gehackt wurde bzw. unter meinem Account eine Phisingseite veröffentlicht wurden ist.
Auf dem Server liegen zwei Joomla Webseiten (auf die Schnelle nicht so wichtig) und das Prepaid-Wiki (Mediawiki).

Ich habe mich mit der Pflege der Inhalte beschäftigt und die Seite auch technisch aufgebaut. Allerdings fehlt mir nun das grundlegende Basiswissen, um die Forderungen des Serverbetreibers zu erfüllen:

1. Den Fehler suchen, der dies ermöglicht hat.
2. Den Fehler beseitigen und ggf. betroffene Scripte und/oder Dateien löschen.
3. den Serverbetreiber darüber informieren.

Punkt 1 und 2 bereiten mir Kopfschmerzen, denn ich weiß absolut nicht, wo ich hier anfangen soll. Zudem drücken auch ein paar andere Termine im Nacken, so dass mit einer baldigen Freischaltung nicht zu rechnen ist.

Kann sich bitte mal ein etwas besser informierter Experte bei mir melden und ggf. mit mir gemeinsam auf die Suche gehen? Ich fürchte, alleine packe ich das jetzt nicht. Ich weiß ja nicht einmal, ob ggf. auch Datenbankeinträge betroffen sind und bin hier ehrlich gesagt im Moment völlig verzweifelt.

Bye, Mike

Zitat

Original geschrieben von Droedel
Kannst Du den Serverbetreiber dazu bringen zumindest erstmal eine andere Startseite einzustellen, in dem der Hinweis auf die Temporär abgeschaltete Seite wg. Hacks steht ?

Leider kann ich Dir bei Deinem Problem auch nicht helfen, da ich von der Materie auch keine Ahnung habe

Wenn der Aufruf nicht hilft, solltest Du Dir ggf. einen Profi für ne Stunde mieten, der das wieder gerade biegt. Das Geld müsste Du dann per Umlage / Spenden wieder versuchen reinzubekommen.

Die Hände sollen dem Drecksack von Hacker abfaulen !!! :mad:

D.

Alles anzeigen

Solange die Webseite gesperrt ist, kann ich da bezüglich der Meldung garnichts machen. Ich habe erstmal soweit ein Backup der Daten gezogen. An die SQL-Datenbank komme ich aber im Moment nicht ran wg. Backup, da muss ich auf die Freischaltung vom Provider warten. Eine andere Meldung blende ich ein, sobald der Server wieder erreichbar ist. Fakt ist: ich werde wohl die Wiki-Software neu installieren müssen. Das braucht Zeit, habe ich im Moment aber nicht viel von.

Eine wichtige Frage an die Experten hier: kann auch die SQL-Datenbank verseucht sein? Wenn ja: wie checke ich das und was kann ich machen?? Letztes Backup wäre vom 5.5. - es würden als 10 Tage Pflege des Wikis im Ernstfall fehlen. Das möchte ich gerne auf jeden Fall vermeiden!!

Bye, Mike

Zitat

Original geschrieben von slider50ccm
schau dir mal die logs an.

falls es ein linux server ist

/var/log/messages

dazu gibts noch ein log von deinem webserver (vermutlich apache)

so würd ich jetzt grob mal anfangen.

Alles anzeigen

Offenbar erfolgte der Angriff am 18. April. Ich habe die Logs angesehen - danke für den entscheidenden Tipp. An jenem Tag wurde eine Datei Format.php - welche vom Virenscanner als Trojaner enttarnt wurde - auf die Webseite eingeschleusst.
Auf welchem Weg, ist mir bisher noch unklar. Vermutlich über irgendeine Lücke oder einen Script. Verdächtig kommt mir auch eine bestia.php vor. Beide wurden im Ordner Language abgelegt und zwar nicht auf der WIKI-Seite, sondern meiner Firmenseite (Joomla). Dort läuft auch ein Shop drüber, mal schauen ob da ein Zusammenhang besteht.

Zum besseren Verständnis: auf dem Server liegen insgesamt drei Seiten. Und der Provider hat alle abgeschalten...
Ich forsche jetzt mal weiter.

Bye, Mike

Zitat

Original geschrieben von harlekyn
Joomla ist quasi das Windows der CMSe - staendig von irgendwelchen Viren und Wuermern befallen. Da musste die Update-Mailingliste immer im Auge behalten und fleissig neue Versionen einspielen.

Ja, das ist mir jetzt auch ein wenig klarer. Nach bisherigen Erkenntnissen ist daher die Wiki-Software nicht betroffen. Daher hoffe ich auf baldige Freischaltung vom Provider, um dann die Wiki-Software wieder einzuspielen...
Bin schon ein wenig optimistischer...

Bye, Mike

Zitat

Original geschrieben von privatlehrer
Ich hab zwar auch keine Ahnung, aber meines Wissens nach trifft das nicht auf Joomla selbst sondern nur auf die diversen verfügbaren Plugins zu mit der Unsicherheit. Ich aknn mich da aber gerne irren.

Siehst du nach meinen jetzigen Recherchen genau richtig. Joomla selber ist recht sicher. Nur halt manches Plugin nicht. Und das wird bei mir auch bestätigt, denn der Angreifer hat den Weg über die Componente "mambowiki" ins System gefunden und darüber die Schadprogramme eingeschleust.
Ich bin ja froh, dass ich überhaupt soweit die Sache jetzt nachvollziehen kann. Nach Freigabe werde ich eine wesentlich restriktivere Installation aufsetzen und weitestgehend auf die "nützlichen" Plugins verzichten.
Naja, man kann bei der Geschichte nur lernen und es dann besser machen. Hauptsache, ich bekomme bis zum Wochenende das Prepaid-Wiki wieder vollständig ans Netz...

Danke @all für die bisherige Unterstützung!

Ach: Frage noch am Rande: Muss/sollte ich jetzt noch eine Strafanzeige machen? Nicht das dann irgendwelche Belange an mich herangetragen werden und ich Probleme bekomme, weil ich dies nicht getan habe? Wenn ja: wo und wie am besten??

Bye, Mike