In letzter Zeit tauchen immer mehr gehackte Webseiten auf. Dabei ist nicht nur Joomla sondern auch andere CMS wie Wordpress betroffen. Befallene Systeme haben im Quellcode hinter jedem öffnenden PHP-Tag (<?php ) folgenden code stehen:
eval(base64_decode("DQplcnJvcl9...0NCn0NCn0="));
Ziel dieses Script's ist es die Seite aus den Suchergebnisen auzuschließen und den Traffic auf andere Seiten umzulenken. Dies erkennt man wenn die Konvertierungsrate sich dem Nullwert nähert, Keywords von Google gelöscht, oder die Absprungsrate explodiert. Dabei kann ausgehend von einer kleinen Lücke das ganze System befallen sein und somit jede PHP-Datei.
Sollten dateien befallen sein, muss schnell reagiert werden. Empfohlen wird:
- Die Seite direkt in den Wartungsmodus oder komplett vom Netz
- Server-Logs nach Auffälligkeiten durchsuchen
- alle PC's die Zugriff auf die befallene Seite nach Trojanern untersuchen
- unnötige oder kaum benutze Erweiterungen aus Joomla löschen
- Ungenutzte Templates, Module und Plugins löschen
- Schreibrechte / Nutzerrechte überprüfen
- tmp & cache sauber halten
Um den Schädling los zu werden gibt es verschiedene Skripte um diese Exploits zu löschen. Beispielsweise die fixit.php im Anhang. Die Vorgehensweise sieht so aus:
- Die Schreibrechte VORRÜBERGEHEND auf 777 setzen
- das PHP-Script ins Root-Verzeichnis laden
- die Datei über den Browser aufrufen (meineseite.de/fixit.php)
- Auf die Bestätigungsmeldung warten
- Die von Joomla empfohlenden Berechtigungen wieder herstellen.
WICHTIG! UPDATEN UPDATEN UPDATEN!
Falls die lücke noch nicht geschlossen ist, wird sie auf jeden Fall mit einem Sicherheitsupdate geschlossen. Also immer alle Erweiterungen und vor allem den Joomla Core aktuell halten!
Vielen Dank an "a.fischer" für das Feedback.
