Joomla Malware Scanner: Schadcode finden und entfernen

Joomla Malware Scanner - wer danach sucht, hat meistens schon ein mulmiges Gefühl. Die Seite leitet plötzlich auf einen dubiosen Shop weiter, Google zeigt eine rote Warnung, oder der Hoster meldet Spam-Versand vom eigenen Server. Ein Scanner ist dann das erste Werkzeug: Er durchsucht Dateien und Datenbank nach Schadcode, zeigt dir, was nicht dahin gehört, und hilft beim Entfernen. Dieser Beitrag erklärt, was ein Joomla Malware Scanner wirklich leistet, wie du richtig scannst - und stellt den kostenlosen HTProtect-Scanner vor, mit dem wir täglich arbeiten.

Stand: 26. Juni 2026

Inhalt

Was ein Joomla Malware Scanner wirklich leistet

Ein Malware Scanner ist kein Zauberstab, sondern ein Suchwerkzeug. Er geht systematisch durch deine Joomla-Installation - Datei für Datei, Tabelle für Tabelle - und vergleicht, was er findet, mit bekannten Mustern von Schadcode. Webshells, Hintertüren, eingeschleuste Loader, manipulierte Konfigurationsdateien. Was verdächtig aussieht, landet auf einer Liste, die du dann abarbeitest.

Der entscheidende Punkt, den viele unterschätzen: Ein Scanner findet, er heilt nicht von allein. Die eigentliche Arbeit ist das Bewerten und Entfernen der Funde. Ein guter Scanner nimmt dir genau das ab - er trennt echten Schadcode von harmlosem Code, der nur zufällig ähnlich aussieht, und entfernt die Funde sauber, ohne deine Seite kaputtzumachen. Genau da trennt sich Spreu von Weizen.

Wichtig ist auch der Unterschied zur Firewall. Eine Firewall (WAF) versucht, Angriffe gar nicht erst hereinzulassen. Ein Scanner kommt ins Spiel, wenn es schon passiert ist. Beides ergänzt sich, aber wer einen Scanner googelt, hat das Kind meist schon im Brunnen liegen. Fangen wir also dort an.

Woran du merkst, dass deine Joomla-Seite gehackt ist

Manche Hacks brüllen, andere flüstern. Die lauten merkst du sofort, die leisen fressen monatelang dein Google-Ranking, bevor jemand stutzig wird. Das sind die Symptome, die uns Kunden am häufigsten schildern:

• Die rote Google-Warnung: "Diese Seite kann Ihren Computer schädigen" oder "Irreführende Website" im Browser. Google hat Schadcode oder eine Weiterleitung entdeckt und warnt Besucher aktiv ab. Ab da bricht der Traffic ein.
• Plötzlicher Spam-Versand: Der Hoster sperrt das Postfach oder das ganze Paket, weil über deinen Server tausende Mails rausgehen. Strato und andere Hoster sperren dann gern das komplette Paket.
• Fremde Weiterleitungen: Besucher landen auf dubiosen Shops, Glücksspielseiten oder Fake-Gewinnspielen - oft nur, wenn sie über Google kommen oder vom Handy. Am eigenen Rechner sieht alles normal aus, was die Suche so tückisch macht.
• Fremde Admin-Konten: Im Backend taucht ein Super User auf, den niemand angelegt hat. Versteckte Admin-Accounts sind ein klares Zeichen, dass jemand dauerhaften Zugang wollte.
• Verbogene .htaccess: Plötzliche Umleitungen, die du nirgends eingestellt hast - der Angreifer hat Regeln in die .htaccess geschrieben.
• Defacement: Die Startseite zeigt eine fremde Botschaft, oft mit Hacker-Pseudonym. Selten, aber unübersehbar.
• SEO-Spam: In Google erscheinen plötzlich japanische oder pharmazeutische Suchergebnisse zu deiner Domain - Seiten, die du nie erstellt hast.

Ehrlich gesagt: Wenn auch nur eines davon zutrifft, ist Scannen Pflicht. Und zwar nicht nur die Stelle, die auffällt, sondern alles. Ein Hack ist fast nie nur eine Datei.

Was ein Scanner auf einer Joomla-Seite findet

Damit du verstehst, wonach so ein Scanner überhaupt sucht, hier die Klassiker, die uns bei Joomla-Bereinigungen täglich begegnen.

Webshells und Backdoors im Dateisystem

Eine Webshell ist eine PHP-Datei, die dem Angreifer eine Fernsteuerung gibt - Dateien hochladen, Befehle ausführen, in der Datenbank wühlen, alles über den Browser. Berüchtigte Namen sind c99, r57 oder wso, aber clevere Angreifer tarnen sie als wp-conf.php, system.php oder cache.php mitten zwischen echten Dateien. Eine Backdoor ist subtiler: oft nur ein paar Zeilen, die unauffällig in einer bestehenden Datei sitzen und bei jedem Aufruf neuen Schadcode nachladen.

eval/base64-Loader und getarnte JCE-Shells

Der Klassiker schlechthin: verschleierter Code, der über eval(), base64_decode(), gzinflate() oder str_rot13() seine eigentliche Nutzlast erst zur Laufzeit auspackt. Im Editor steht dann ein wilder Buchstabensalat, der für den Server aber sauberer Befehl ist. Besonders perfide sind als Bilder getarnte Shells in den Upload-Ordnern - eine Datei, die logo.gif heißt, in Wahrheit aber PHP enthält und über die alte JCE-Lücke hochgeladen wurde. Genau deshalb gehören die Upload-Ordner (images/, media/, tmp/) bei jedem Scan ganz oben auf die Liste.

Injektionen in configuration.php und Templates

Die configuration.php im Hauptverzeichnis ist ein beliebtes Versteck, weil sie sowieso bei jedem Seitenaufruf geladen wird. Ein eingeschmuggelter Einzeiler ganz oben oder unten in dieser Datei läuft also garantiert mit. Das Gleiche gilt für die index.php aktiver Templates. Wir sehen oft den sogenannten "Vietnamese One-Line Snippet": einen PHP-Wrapper, der vor den eigentlichen Template-Code geschoben wird und die Seite im schlimmsten Fall sogar abstürzen lässt.

Bösartige .htaccess, SEO-Spam und Defacement

Nicht jeder Schadcode ist PHP. Manche Angriffe sitzen in der .htaccess und leiten Suchmaschinen-Besucher woanders hin als normale Nutzer. SEO-Spam wiederum versteckt sich gern in der Datenbank - in Artikeln, Modulen oder Konfigurationswerten als unsichtbare Linkfarm. Ein vollständiger Scanner muss deshalb beides prüfen: das Dateisystem und die Datenbank.

So scannst du deine Joomla-Seite (Schritt für Schritt)

Ganz gleich, welches Werkzeug du nutzt - das Vorgehen ist immer ähnlich. So gehen wir es an:

1. Backup zuerst. Bevor du irgendetwas löschst, sichere den aktuellen Stand - inklusive Datenbank. Klingt paradox, ist aber wichtig: Falls beim Aufräumen etwas schiefgeht, kommst du zurück. Wie das Wiedereinspielen läuft, steht im Beitrag Akeeba Backup wiederherstellen.
2. Vollständigen Scan starten. Lass den Scanner über das komplette Dateisystem und die Datenbank laufen, nicht nur über den Ordner, der auffällt. Auf großen Seiten kann das dauern - ein guter Scanner läuft ohne Timeout durch.
3. Funde bewerten. Jeden Treffer kurz anschauen. Ist es echter Schadcode oder ein Fehlalarm? Verschlüsselte Loader, fremde Dateien in Upload-Ordnern und manipulierte Kerndateien sind fast immer echt.
4. Entfernen, nicht nur löschen. Reine Schaddateien kommen weg. Bei infizierten, aber eigentlich legitimen Dateien (zum Beispiel der configuration.php) entfernst du nur den eingeschleusten Teil und behältst den Rest.
5. Einfallstor finden. Das Wichtigste - und das, was die meisten vergessen. Eine veraltete Erweiterung? Ein geknacktes Passwort? Solange das Loch offen ist, bist du in Tagen wieder infiziert.
6. Nachkontrolle. Nach dem Aufräumen erneut scannen, Passwörter und das Joomla-Secret tauschen, fremde Admin-Konten löschen, Sessions beenden.

Der häufigste Fehler, den wir sehen: Leute löschen die eine auffällige Datei, atmen auf - und übersehen die drei Backdoors, die genau für diesen Fall hinterlegt wurden. Aufräumen heißt gründlich oder gar nicht.

HTProtect: der kostenlose Joomla Malware Scanner direkt in Joomla

Aus genau dieser täglichen Arbeit ist unser eigener Scanner entstanden. HTProtect - die kostenlose Joomla-Sicherheitskomponente bringt einen vollwertigen Malware Scanner mit, der direkt in deiner Joomla-Installation läuft. Kein Upload zu einem fremden Dienst, keine Telemetrie, nichts verlässt deinen Server. Hier ist, was er kann und warum.

Erkennung, die wirklich greift

Der Scanner kombiniert zwei Ansätze. Eine Signatur-Engine erkennt bekannte Schadmuster anhand regelmäßig aktualisierter Definitionen - und diese Definitionen sind kryptografisch signiert, damit niemand sie unterwegs manipulieren kann. Dazu kommt eine Heuristik, die verdächtige Strukturen erkennt, auch wenn die exakte Signatur noch nicht bekannt ist: verschachtelte eval-Konstrukte, Code in Upload-Ordnern, ungewöhnlich kodierte Blöcke. Ergänzt wird das durch kuratierte Schwarm-Meldungen - Funde aus echten Bereinigungen fließen geprüft in die Definitionen zurück. Kein Werkzeug erkennt 100 Prozent, das wäre Schlangenöl. Aber diese Mischung aus Signatur, Heuristik und Praxis-Rückfluss findet sehr zuverlässig, was auf Joomla-Seiten tatsächlich auftaucht.

Funde stapelweise entfernen

Wer schon mal eine flächig infizierte Seite mit hunderten betroffenen Dateien hatte, kennt das Elend: jede einzeln anklicken, bestätigen, weiter. HTProtect kann markierte Funde im Stapel löschen - hunderte auf einmal, in Schüben abgearbeitet, damit der Server nicht in einen Timeout läuft. Was sonst eine Stunde Klickarbeit ist, sind ein paar Minuten.

Integrierter Editor statt Holzhammer

Nicht jede infizierte Datei darf weg. Steckt die Injektion in einer legitimen Datei, willst du nur den Schadcode raustrennen und den Rest behalten. Der eingebaute Editor öffnet die Datei direkt, du entfernst die eingeschleuste Zeile und speicherst - auch sehr große Dateien zuverlässig, weil HTProtect die typischen Server- und ModSecurity-Limits umgeht, an denen normale Editoren scheitern.

Schreibgeschützte Ordner werden entsperrt

Ein fieser Trick: Angreifer setzen ihre Ordner auf chmod 555, also schreibgeschützt, damit du ihren Schadcode nicht einfach löschen kannst. Viele Aufräumversuche scheitern genau hier - lautlos. HTProtect entsperrt solche Ordner automatisch zum Löschen und setzt die Rechte danach wieder zurück.

Läuft auch auf riesigen Seiten durch

Der Scan ist stückweise und fortsetzbar. Er läuft auch über zehntausende Dateien, ohne in einen Timeout zu rennen, mit Fortschrittsbalken. Und beim zweiten Mal prüft ein Delta-Scan nur, was sich seit dem letzten Lauf geändert hat - das ist schnell und macht regelmäßiges Kontrollieren überhaupt erst praktikabel.

Kerndateien im Blick

Der Scanner schaut gezielt dorthin, wo Injektionen am meisten anrichten: in die configuration.php und in die aktiven Templates. Eingeschleuster Code an diesen Stellen wird gemeldet, statt im Rauschen unterzugehen.

Unterm Strich findet der HTProtect-Scanner die typischen Joomla-Bedrohungen: Webshells, Backdoors, eval- und base64-Loader, als GIF getarnte JCE-Shells, bösartige .htaccess, manipulierte JCE-Profile, SEO-Spam und Defacement. Er läuft komplett kostenlos, direkt in Joomla, von Joomla 2.5 bis 6 und unter PHP 7.4 bis 8.5.

HTProtect Malware Scanner kostenlos nutzen

Scanner, Stapel-Löschen, integrierter Editor und Server-Schild in einer kostenlosen Komponente für Joomla 2.5 bis 6. Direkt in Joomla, ohne Upload zu Dritten, ohne Telemetrie.

→ HTProtect ansehen und herunterladen

Vorbeugen ist besser als scannen

So nützlich ein Scanner ist - am schönsten ist der Hack, der nie passiert. HTProtect bringt deshalb über den Scanner hinaus einen ganzen Werkzeugkasten zum Vorbeugen mit: ein Exploit-Schild (eine kleine WAF), das bekannte Angriffe auf JCE, Novarain, Astroid, com_ajax-LFI oder die Web-Services-API blockt und seine Regeln per Live-Update aktuell hält. Dazu härtet es die Haupt-.htaccess, sperrt die Upload-Ordner gegen PHP-Ausführung und schützt das Verzeichnis /administrator mit einem Passwort. Ein Wächter schlägt Alarm, wenn sich die .htaccess verändert oder ein neues Admin-Konto auftaucht, eine Sicherheits-Ampel zeigt den Zustand auf einen Blick, und Updates laufen abgesichert. Wer tiefer einsteigen will, findet die Details im Praxis-Leitfaden Joomla absichern.

Wenn es zu spät oder zu komplex ist

Manchmal ist ein Hack zu tief oder zu verschachtelt, um ihn nebenbei selbst aufzuräumen - oder die Zeit drängt, weil der Hoster mit Sperrung droht. Dann übernehmen wir das. Wir säubern gehackte Joomla-Seiten beruflich, finden das Einfallstor und sorgen dafür, dass es nicht gleich wieder passiert. Kein Hard-Sell - nur falls du lieber jemanden ranlässt, der das täglich macht.

Häufige Fragen

Wie erkenne ich Malware auf meiner Joomla-Seite?
Typische Anzeichen sind eine Google-Warnung im Browser, plötzlicher Spam-Versand, Weiterleitungen auf fremde Seiten (oft nur über Google oder vom Handy), unbekannte Admin-Konten oder ein Einbruch beim Suchmaschinen-Ranking durch SEO-Spam. Sicherheit gibt aber erst ein vollständiger Scan von Dateisystem und Datenbank - viele Backdoors sind von außen unsichtbar.

Ist der HTProtect Malware Scanner kostenlos?
Ja, vollständig. HTProtect ist eine kostenlose Joomla-Komponente, der Scanner inklusive Stapel-Löschen und Editor gehört dazu. Es gibt keine kostenpflichtige Pro-Stufe, die du für das Scannen bräuchtest.

Welche Joomla- und PHP-Versionen unterstützt der Scanner?
Joomla 2.5 bis 6 und PHP 7.4 bis 8.5. Gerade auf älteren, längst nicht mehr gepflegten Joomla-Seiten - die statistisch am häufigsten gehackt werden - läuft er also auch noch.

Reicht ein Online-Scanner oder muss ich auf dem Server scannen?
Online-Dienste wie Sucuri SiteCheck oder VirusTotal sehen nur, was von außen sichtbar ist - eine Weiterleitung, sichtbarer Spam, eine Blacklist-Markierung. Webshells und Backdoors im Dateisystem finden sie nicht. Für eine echte Bereinigung musst du dort scannen, wo der Code liegt: auf dem Server, in Dateien und Datenbank. Genau das macht ein Scanner, der in Joomla läuft.

Findet der Scanner auch Schadcode in der Datenbank?
Ja. Viele Angriffe sitzen nicht in Dateien, sondern als injiziertes Skript oder versteckte Linkfarm in Artikeln, Modulen oder Konfigurationswerten. Ein vollständiger Scan prüft beides, Dateisystem und Datenbank.

Was mache ich, wenn der Scanner etwas findet?
Erst sichern, dann bewerten, dann entfernen - und unbedingt das Einfallstor schließen, sonst ist die Seite bald wieder infiziert. Reine Schaddateien löschst du, bei infizierten Kerndateien trennst du nur den eingeschleusten Teil heraus. Wenn dir das zu heikel ist oder die Seite geschäftskritisch ist, übernehmen wir die professionelle Bereinigung.

Fragen oder etwas unklar? Schreib es gern in die Kommentare unter dem Artikel.

• Weiter