Bei einigen unserer Kunden bemerken wir immer wieder htaccess-Dateien in sämtlichen Ordnern die von den Kunden nicht gesetzt wurden. Ziel dieser Dateien ist es, Suchmaschinen gezielt umzuleiten. Ein neuer Hack aus Russland greift gezielt das Bluestork-Template aus dem Joomla Core an und schleust so Dateien auf den Server!
Die abgelegten htaccess-Dateien haben meist die folgende Struktur:
RewriteEngine OnRewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo| ... )\.(.*)RewriteCond %{HTTP_USER_AGENT} ^.*(msie|opera) [NC]RewriteCond %{REQUEST_FILENAME} !/index_backup.phpRewriteRule (.*) /index_backup.php?query=$1 [QSA,L]
Ziel ist es die Aufrufe der befallenen Seite auf eine in der index_backup.php mittels base64_decode() verschlüsselten URL weiterzuleiten. Somit wird der Traffic der eigenen Webseite zerstört und auch die Suchergebnisse leiden deutlich darunter.
Wie bekomme ich diesen Hack nun wieder los?
Als allererstes sollte eine Ursachenforschung durchgeführt werden. Dazu muss bei diesem Hack geprüft werden wie es möglich war Dateien auf dem Server zu schreiben. Wurden die FTP Passwörter geknackt? Ist eine alte JCE Version installiert? Wird das Bluestork Template verwendet? Und ist der Super-User noch immer mit Benutzernamen "admin" im Backend registriert?
Ist die Lücke ausgemacht, dann müssen die betroffenen Dateien entfernt und die Joomla-Core Dateien ausgetauscht werden. Am besten alle Joomla Dateien mit einem Updatepaket überschreiben.
Weiterhin muss natürlich das System abgesichert werden. Dafür haben wir die wichtigsten Joomla Sicherheitsaspekte bereits aufgelistet. Wenn die alle befolgt sind, ist Ihre Webseite schon besser gegen Eindringlinge gewappnet.
Falls Sie weiterhin Probleme haben, dann melden Sie sich bei uns!
