Vorgehensweise bei gehackter Joomla-Seite

Nützliche Tipps & Praxisbeispiele

Schritt 1:  Webseite deaktivieren - Dateisystem einfrieren
Wenn eine Kompromittierung zweifelsfrei feststeht und Ihr Hoster noch keine Sperrung ausgelöst hat, ist die Deaktivierung der gehackten Website zur Vermeidung weiterer Schäden dringend anzuraten. In der Joomla Konfiguration den Offline-Modus zu aktivieren, reicht nicht aus. Eingeschleuste Schaddateien in den Tiefen der Joomla Verzeichnisse, die üblicherweise bei einem Hack hinterlassen werden (Spam Scripts, Backdoors, Web Shells und andere Malware), wären weiterhin direkt aufrufbar.
Um den Zugriff effektiv zu unterbinden, gibt es zwei Möglichkeiten:

• .htaccess Passwortschutz (example.org/xssen.php)
• Umbenennung/Umleitung des Basisverzeichnisses (Wartungsseite einrichten)
  

Nach Änderung der FTP Zugänge ist das Dateisystem vor weiteren äußeren Einflüssen geschützt und es kann mit der Schadensanalyse begonnen werden.

Schritt 2: Sicherungen herunterladen -  Einbruch analysieren - Lücke finden

• Lokalen Echtzeit Virenschutz temporär deaktivieren
  Sonst könnte schon der FTP Download aufgrund eines Virus-Alarms fehlschlagen
• Herunterladen des infizierten Filesystems unter Beibehaltung der Timestamps
  (Option im FTP Programm)
  Schneller: Per SSH, Web Control Panel oder Akeeba Backup eine Sicherung als ZIP Archiv erstellen und herunterladen. Beim lokalen Entpacken mit WinRAR oder 7-Zip bleiben die Zeitstempel erhalten.
  
• Kürzlich veränderte Dateien inspizieren
• Malware Logs des Hosters durchgehen
• Lokaler Scan der Daten mit guter Anti-Virus-Software
• Joomla Root Verzeichnis prüfen
  • Benötigt werden i.d.R. nur index.php, configuration.php, .htaccess & robots.txt

Von jedem Schadcode Fund den Timestamp (Datei Änderungszeitpunkt) notieren.
Achtung! Dieser kann durchaus auch verfälscht sein - unauffällig dem der übrigen Dateien im jew. Verzeichnis entsprechen. Auch die Timestamps der Verzeichnisse sollten beachtet werden.
Basierend darauf:

•  Analyse der Webserver Access Logs
  
  • Auffällige POST Einträge
  • Typische Angriffsmuster

Ein kleines Tool und weitere Tipps zur Auswertung finden Sie hier.
Lässt sich der Zeitpunkt des Hacks genau eingrenzen? Backup vorhanden?

Schritt 3a:  Backup wiederherstellen

Wenn Sie sich sicher sind, dass eine saubere Sicherung von vor dem Hack existiert und die Angleichung an den aktuellen Stand kein allzu großer Aufwand ist, kann das eine Möglichkeit sein, das Malware Problem nachhaltig in den Griff zu bekommen. Die Wiederherstellung sollte zugangsgeschützt stattfinden, bis alles vollständig aktualisiert und abgesichert ist.
Achtung: Oft wird bereits lange bevor sich ein Hack bemerkbar macht unauffällig Schadcode eingeschleust (schlummernde Backdoors).
Über diese würde der Webspace immer wieder erneut gehackt werden.

Schritt 3b:  Dateisystem bereinigen
Experts only

• Verifizierung der Core Dateien (z.B. per WinMerge)
  • Insb. non-core Dateien in (/administrator)/libraries sollten überprüft werden
• /images, /media und sonst. Upload Verzeichnisse nach Schadcodes (*.php) durchforsten
• /cache, /tmp, /logs inspizieren - anschließend leeren (index.html nicht löschen)
• /bin, /cli, /language, /includes untersuchen (*.php) - alle recht übersichtlich
• Template Dateien (index.php) auf <script Injections prüfen
• .htaccess Dateien kontrollieren

Potenziell jedes der bisher nicht behandelten Verzeichnisse kann Schadcode enthalten.

Die Tiefen der /components, /modules, /layouts & /plugins Verzeichnisse sind besonders tückische Verstecke. Mit viel Erfahrung, aktuellen Erkennungsmustern und gutem Spürsinn lassen sich auch diese Dateien ausfindig machen.

Schritt 4:  Lücke schließen -  Passwörter ändern - Joomla rundum aktualisieren

Um zu vermeiden, dass Ihre Joomla Webseite erneut gehackt wird, sollten regelmäßig Updates durchgeführt werden. Nur so lässt sich das größtmögliche Maß an Sicherheit erhalten.