Hacked by AntonKill - Helix3-Defacement auf einer gehackten Joomla-SeiteHacked by AntonKill - diese Meldung erscheint seit Anfang Juli 2026 auf einer Welle gehackter Joomla-Seiten, oft im Wechsel mit Hacked by trenggalek6etar. Dahinter steckt kein gezielter Angriff, sondern ein automatisiertes Botnetz, das eine frisch bekannt gewordene Lücke im Helix3-Framework von JoomShaper abfährt. Die eigentliche Seite bleibt dabei meist unversehrt - der Angreifer legt nur eine Vollbild-Verunstaltung darüber. Hier liest du, woran du es erkennst und wie du es vollständig wieder loswirst.

Stand: 6. Juli 2026

Die "Hacked by AntonKill"- und "Hacked by trenggalek6etar"-Defacements gehen auf mehrere kritische Lücken im Helix3-AJAX-Plugin von JoomShaper zurück. Ein Angreifer kann darüber ohne Login Schadcode in die Template-Optionen schreiben. Die Lösung in Kurzform: eingeschleusten Code aus dem Template entfernen, Helix3 aktualisieren (Sicherheits-Fix ab 3.1.1, aktuell 3.1.2) - und zwar beide Plugins - und die Seite auf weitere Spuren prüfen. Betroffen ist Joomla 3, 4, 5 und 6.

Inhalt

Was "Hacked by AntonKill" wirklich ist

Seit dem 5. Juli 2026 läuft eine breite Angriffswelle gegen Joomla-Seiten. Betroffene sehen beim Aufruf ihrer Seite nur noch eine dunkle Vollbild-Seite mit Totenkopf und dem Schriftzug Hacked by AntonKill oder Hacked by trenggalek6etar, je nach Variante. Es handelt sich um ein reines Defacement, also digitalen Vandalismus: Der Angreifer will sichtbar Schaden anrichten, keine Daten stehlen. Deine Inhalte sind in der Regel noch da, sie werden nur überdeckt.

Der Angriff läuft vollautomatisch. Ein Botnetz scannt das Netz nach Joomla-Seiten mit verwundbarem Helix3-Framework und schleust bei einem Treffer ein Stück JavaScript ein, ganz ohne Zugangsdaten. Beim nächsten Seitenaufruf baut dieser Code die Verunstaltung im Browser des Besuchers auf. Der Schadcode landet nicht in einer Datei, sondern direkt in der Datenbank, in den Template-Optionen (Feld Custom JavaScript, teils auch Custom CSS und Before </head>).

Die Ursache: die Helix3-Lücke

Verantwortlich ist das Helix3-Framework von JoomShaper, genauer das zugehörige AJAX-Plugin (plg_ajax_helix3). Über die Joomla-Standardschnittstelle com_ajax lassen sich mehrere Aktionen dieses Plugins ohne Anmeldung aufrufen. Gemeldet wurden die Lücken von Sicherheitsforscher Phil Taylor (mySites.guru); eine CVE-Nummer ist beantragt. Konkret erlauben sie unter anderem:

  • unauthentifiziertes Schreiben von Dateien ins Template (Aktion save, per Path-Traversal auch daneben),
  • das Löschen beliebiger Dateien (remove und remove_image), etwa der schützenden .htaccess,
  • das Überschreiben der Template-Einstellungen (import) - genau das nutzt die aktuelle Defacement-Welle,
  • nach Login eine Rechteausweitung bis zur Code-Ausführung, weil der Bild-Upload auch .php-Dateien annahm.

Wichtig: Helix3 ist nicht Helix Ultimate. Betroffen ist nur das ältere Helix3 (System- plus AJAX-Plugin). Und es trifft nicht nur alte Joomla-Versionen: Das Plugin läuft laut Hersteller auf Joomla 4, 5 und 6, im Umlauf sind ebenso gehackte Joomla-3.10-Seiten.

Bin ich betroffen?

Prüfe im Backend unter System - Verwalten - Plugins nach Helix3. Wird eine Version unter 3.1.1 angezeigt, ist die Installation verwundbar. Ob schon Schadcode eingeschleust wurde, siehst du unter Erweiterungen - Templates - Stile - (dein Helix3-Stil) - Custom Code: Steht dort fremdes JavaScript wie document.body.innerHTML = ... oder ein document.title mit "hacked by", ist die Seite kompromittiert.

Komplettlösung: so wirst du es los

Reihenfolge einhalten, erst säubern und schließen, dann prüfen. Vor jedem Schritt ein Backup von Dateien und Datenbank anlegen.

  1. Eingeschleusten Code entfernen. Unter Templates - Stile - Custom Code die Felder Custom JavaScript, Custom CSS und Before </head> von fremdem Code befreien und speichern. Sauberer ist es, die Template-Optionen aus einem Backup von vor dem Angriff zurückzuspielen, dazu gleich mehr.
  2. Helix3 aktualisieren. Unter System - Aktualisieren - Erweiterungen auf Updates prüfen und Helix3 auf die aktuelle Version bringen (Sicherheits-Fix ab 3.1.1, aktuell 3.1.2). Aktualisiere beide Plugins: System - Helix3 Framework und Helix3 - Ajax. Erscheint kein Update, lade das Paket in deinem JoomShaper-Konto und installiere es über Erweiterungen - Installieren. Version 3.1.2 ist auch mit Joomla 3 kompatibel. Eine ausführliche Schritt-für-Schritt-Anleitung nur zu dieser Lücke findest du auf htprotect.org/helix3.
  3. Passwörter ändern. Alle Admin-Zugänge, Datenbank und FTP/SSH. Danach kontrollieren, ob unter Benutzer fremde Super-User angelegt oder bestehende Konten umbenannt wurden.
  4. Seite auf weitere Spuren prüfen. Weil die Lücke auch Schreib- und Löschzugriff erlaubte, kann mehr als nur das JavaScript verändert worden sein: unerwartete Dateien im Template-Ordner, gelöschte .htaccess, weitere manipulierte Template-Stile. Ein Malware-Scan über Dateien und Datenbank schafft Klarheit.

Schadcode aus der Datenbank entfernen

Helix3 speichert alle Template-Optionen als JSON in der Spalte params der Tabelle #__template_styles, eine Zeile pro Stil. Genau dort sitzt der eingeschleuste Code. Am saubersten stellst du nur diesen einen params-Wert aus einem Backup von vor dem Angriff wieder her, nicht die ganze Tabelle. Den aktiven Frontend-Stil erkennst du an client_id = 0 und home = 1. Sichere den aktuellen Wert, bevor du ihn überschreibst, dann bleibt der Schritt reversibel. Wer sich mit direkten Datenbank-Eingriffen nicht sicher fühlt, lässt die Seite besser fachgerecht bereinigen, statt gutes gegen schlechtes JSON zu tauschen.

Damit es nicht wieder passiert

Der eigentliche Fehler war nicht der Angriff, sondern das Zeitfenster: Zwischen dem öffentlichen Patch am 29. Juni und dem Einspielen des Updates blieb genug Zeit, dass die Botnetze zuschlagen konnten. Der wichtigste Schutz ist deshalb banal: sicherheitsrelevante Erweiterungen zeitnah aktualisieren, nicht erst zum nächsten Wartungsfenster. Der öffentliche Changelog nannte die Lücke übrigens nur "Security Update", ohne Schweregrad, verlass dich also nicht allein auf Changelogs.

HTProtect Server-Schild - kostenlose Joomla-Komponente zum Absichern der .htaccess

Solche Lücken früher abfangen: HTProtect Server-Schild

Genau gegen Fälle wie die Helix3-Welle hilft der kostenlose HTProtect Server-Schild, meine Joomla-Sicherheitskomponente (2.5 bis 6). Sie warnt dich per E-Mail, sobald eine installierte Erweiterung als angreifbar bekannt wird, und erschwert bis zum Update im Hintergrund die Ausnutzung - genau das Zeitfenster, das die Botnetze sonst nutzen.

Dazu erzeugt sie mit wenigen Klicks eine gehärtete .htaccess (PHP-Schutz in allen kritischen Ordnern, gesperrte sensible Dateien, Sicherheits-Header, kleine Firewall gegen typische Angriffsmuster) und bringt einen Malware-Scanner für Dateien und Datenbank mit. Deine eigenen Regeln bleiben erhalten.

→ HTProtect Server-Schild ansehen und kostenlos herunterladen

Kein Sicherheitsupdate mehr verpassen!

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war, es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten werden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“ – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service Google Bewertungen

Kontaktmöglichkeiten

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 21 Uhr