Hacked by AntonKill: Helix3-Lücke in Joomla erkennen und beheben
Hacked by AntonKill - diese Meldung erscheint seit Anfang Juli 2026 auf einer Welle gehackter Joomla-Seiten, oft im Wechsel mit Hacked by trenggalek6etar. Dahinter steckt kein gezielter Angriff, sondern ein automatisiertes Botnetz, das eine frisch bekannt gewordene Lücke im Helix3-Framework von JoomShaper abfährt. Die eigentliche Seite bleibt dabei meist unversehrt - der Angreifer legt nur eine Vollbild-Verunstaltung darüber. Hier liest du, woran du es erkennst und wie du es vollständig wieder loswirst.
Stand: 6. Juli 2026
Die "Hacked by AntonKill"- und "Hacked by trenggalek6etar"-Defacements gehen auf mehrere kritische Lücken im Helix3-AJAX-Plugin von JoomShaper zurück. Ein Angreifer kann darüber ohne Login Schadcode in die Template-Optionen schreiben. Die Lösung in Kurzform: eingeschleusten Code aus dem Template entfernen, Helix3 aktualisieren (Sicherheits-Fix ab 3.1.1, aktuell 3.1.2) - und zwar beide Plugins - und die Seite auf weitere Spuren prüfen. Betroffen ist Joomla 3, 4, 5 und 6.
Inhalt
Was "Hacked by AntonKill" wirklich ist
Seit dem 5. Juli 2026 läuft eine breite Angriffswelle gegen Joomla-Seiten. Betroffene sehen beim Aufruf ihrer Seite nur noch eine dunkle Vollbild-Seite mit Totenkopf und dem Schriftzug Hacked by AntonKill oder Hacked by trenggalek6etar, je nach Variante. Es handelt sich um ein reines Defacement, also digitalen Vandalismus: Der Angreifer will sichtbar Schaden anrichten, keine Daten stehlen. Deine Inhalte sind in der Regel noch da, sie werden nur überdeckt.
Der Angriff läuft vollautomatisch. Ein Botnetz scannt das Netz nach Joomla-Seiten mit verwundbarem Helix3-Framework und schleust bei einem Treffer ein Stück JavaScript ein, ganz ohne Zugangsdaten. Beim nächsten Seitenaufruf baut dieser Code die Verunstaltung im Browser des Besuchers auf. Der Schadcode landet nicht in einer Datei, sondern direkt in der Datenbank, in den Template-Optionen (Feld Custom JavaScript, teils auch Custom CSS und Before </head>).
Die Ursache: die Helix3-Lücke
Verantwortlich ist das Helix3-Framework von JoomShaper, genauer das zugehörige AJAX-Plugin (plg_ajax_helix3). Über die Joomla-Standardschnittstelle com_ajax lassen sich mehrere Aktionen dieses Plugins ohne Anmeldung aufrufen. Gemeldet wurden die Lücken von Sicherheitsforscher Phil Taylor (mySites.guru); eine CVE-Nummer ist beantragt. Konkret erlauben sie unter anderem:
- unauthentifiziertes Schreiben von Dateien ins Template (Aktion
save, per Path-Traversal auch daneben), - das Löschen beliebiger Dateien (
removeundremove_image), etwa der schützenden.htaccess, - das Überschreiben der Template-Einstellungen (
import) - genau das nutzt die aktuelle Defacement-Welle, - nach Login eine Rechteausweitung bis zur Code-Ausführung, weil der Bild-Upload auch
.php-Dateien annahm.
Wichtig: Helix3 ist nicht Helix Ultimate. Betroffen ist nur das ältere Helix3 (System- plus AJAX-Plugin). Und es trifft nicht nur alte Joomla-Versionen: Das Plugin läuft laut Hersteller auf Joomla 4, 5 und 6, im Umlauf sind ebenso gehackte Joomla-3.10-Seiten.
Bin ich betroffen?
Prüfe im Backend unter System - Verwalten - Plugins nach Helix3. Wird eine Version unter 3.1.1 angezeigt, ist die Installation verwundbar. Ob schon Schadcode eingeschleust wurde, siehst du unter Erweiterungen - Templates - Stile - (dein Helix3-Stil) - Custom Code: Steht dort fremdes JavaScript wie document.body.innerHTML = ... oder ein document.title mit "hacked by", ist die Seite kompromittiert.
Komplettlösung: so wirst du es los
Reihenfolge einhalten, erst säubern und schließen, dann prüfen. Vor jedem Schritt ein Backup von Dateien und Datenbank anlegen.
- Eingeschleusten Code entfernen. Unter Templates - Stile - Custom Code die Felder Custom JavaScript, Custom CSS und Before </head> von fremdem Code befreien und speichern. Sauberer ist es, die Template-Optionen aus einem Backup von vor dem Angriff zurückzuspielen, dazu gleich mehr.
- Helix3 aktualisieren. Unter System - Aktualisieren - Erweiterungen auf Updates prüfen und Helix3 auf die aktuelle Version bringen (Sicherheits-Fix ab 3.1.1, aktuell 3.1.2). Aktualisiere beide Plugins: System - Helix3 Framework und Helix3 - Ajax. Erscheint kein Update, lade das Paket in deinem JoomShaper-Konto und installiere es über Erweiterungen - Installieren. Version 3.1.2 ist auch mit Joomla 3 kompatibel. Eine ausführliche Schritt-für-Schritt-Anleitung nur zu dieser Lücke findest du auf htprotect.org/helix3.
- Passwörter ändern. Alle Admin-Zugänge, Datenbank und FTP/SSH. Danach kontrollieren, ob unter Benutzer fremde Super-User angelegt oder bestehende Konten umbenannt wurden.
- Seite auf weitere Spuren prüfen. Weil die Lücke auch Schreib- und Löschzugriff erlaubte, kann mehr als nur das JavaScript verändert worden sein: unerwartete Dateien im Template-Ordner, gelöschte
.htaccess, weitere manipulierte Template-Stile. Ein Malware-Scan über Dateien und Datenbank schafft Klarheit.
Schadcode aus der Datenbank entfernen
Helix3 speichert alle Template-Optionen als JSON in der Spalte params der Tabelle #__template_styles, eine Zeile pro Stil. Genau dort sitzt der eingeschleuste Code. Am saubersten stellst du nur diesen einen params-Wert aus einem Backup von vor dem Angriff wieder her, nicht die ganze Tabelle. Den aktiven Frontend-Stil erkennst du an client_id = 0 und home = 1. Sichere den aktuellen Wert, bevor du ihn überschreibst, dann bleibt der Schritt reversibel. Wer sich mit direkten Datenbank-Eingriffen nicht sicher fühlt, lässt die Seite besser fachgerecht bereinigen, statt gutes gegen schlechtes JSON zu tauschen.
Damit es nicht wieder passiert
Der eigentliche Fehler war nicht der Angriff, sondern das Zeitfenster: Zwischen dem öffentlichen Patch am 29. Juni und dem Einspielen des Updates blieb genug Zeit, dass die Botnetze zuschlagen konnten. Der wichtigste Schutz ist deshalb banal: sicherheitsrelevante Erweiterungen zeitnah aktualisieren, nicht erst zum nächsten Wartungsfenster. Der öffentliche Changelog nannte die Lücke übrigens nur "Security Update", ohne Schweregrad, verlass dich also nicht allein auf Changelogs.
- Details
- Zuletzt aktualisiert: 06. Juli 2026

