PREV
NEXT
  • Joomla! gehackt?

    Best Practices im Umgang mit einer gehackten Joomla Installation

Grundsätzliche Vorgehensweise, erweiterte Tipps & Praxisbeispiele

Schritt 1:  Website deaktivieren - Dateisystem einfrieren

Wenn eine Kompromittierung zweifelsfrei feststeht und Ihr Hoster noch keine Sperrung ausgelöst hat, ist die sofortige Deaktivierung der Website zur Vermeidung weiterer Schäden dringend anzuraten. In der Joomla Konfiguration den Offline-Modus zu aktivieren, reicht nicht aus. Eingeschleuste Schaddateien in den Tiefen der Joomla Installation (Spam Scripts, Backdoors, Web Shells, ...) wären weiterhin direkt aufrufbar.
Zwei effektive Möglichkeiten:

Nach Änderung der FTP Zugänge ist das Dateisystem vor weiteren äußeren Einflüssen geschützt und es kann mit der Schadensanalyse begonnen werden.

Schritt 2: Sicherungen herunterladen -  Einbruch analysieren - Lücke finden

  • Lokalen Echtzeit Virenschutz temporär deaktivieren
    Sonst könnte schon der FTP Download fehlschlagen
  • Herunterladen des infizierten Filesystems unter Beibehaltung der Timestamps
    (Option im FTP Programm)
    Schneller: Per SSH, Web Control Panel oder Akeeba Backup eine Sicherung als ZIP Archiv erstellen und herunterladen. Beim lokalen Entpacken mit WinRAR oder 7-Zip bleiben die Zeitstempel erhalten.
  • Kürzlich veränderte Dateien inspizieren
  • Malware Logs des Hosters durchgehen
  • Lokaler Scan der Daten mit guter Antivirensoftware
  • Joomla Root Verzeichnis prüfen
    • Benötigt werden i.d.R. nur index.php, configuration.php, .htaccess & robots.txt

Von jedem Schadcode Fund den Timestamp (Datei Änderungszeitpunkt) notieren.
Achtung! Dieser kann durchaus auch verfälscht sein - unauffällig dem der übrigen Dateien im jew. Verzeichnis entsprechen. Auch die Timestamps der Verzeichnisse sollten beachtet werden.
Basierend darauf:

  •  Analyse der Webserver Access Logs
    • Auffällige POST Einträge
    • Typische Angriffsmuster

Lässt sich der Zeitpunkt des Hacks genau eingrenzen? Backup vorhanden?

Schritt 3a:  Backup wiederherstellen

Wenn Sie sich sicher sind, dass eine saubere Sicherung von vor dem Hack existiert und die Angleichung an den aktuellen Stand kein allzu großer Aufwand ist, kann dies eine einsteigertaugliche Möglichkeit sein, das Malware Problem nachhaltig in den Griff zu bekommen. Die Wiederherstellung sollte zugangsgeschützt stattfinden, bis alles vollständig aktualisiert und abgesichert ist.
Achtung: Oft wird bereits lange bevor sich ein Hack bemerkbar macht unauffällig Schadcode eingeschleust (schlummernde Backdoors).

Schritt 3c:  Dateisystem bereinigen
Experts only

  • Verifizierung der Core Dateien (z.B. per WinMerge)
    • Insb. non-core Dateien in (/administrator)/libraries sollten überprüft werden
  • /images, /media und sonst. Upload Verzeichnisse nach Schadcodes (*.php) durchforsten
  • /cache, /tmp, /logs inspizieren - anschließend leeren (index.html nicht löschen)
  • /bin, /cli, /language, /includes untersuchen (*.php) - alle recht übersichtlich
  • Template Dateien (index.php) auf <script Injections prüfen
  • .htaccess Dateien kontrollieren

Potenziell jedes der bisher nicht behandelten (Extension-)Verzeichnisse kann Schadcode enthalten.

Die Tiefen der /components, /modules, /layouts & /plugins Verzeichnisse sind besonders beliebte Verstecke.
Mit gutem Spürsinn, viel Erfahrung und aktuellen Erkennungsmustern lassen sich auch diese Dateien vom Profi ausfindig machen.

Schritt 4:  Lücke schließen -  Passwörter ändern - Joomla rundum aktualisieren