THEMA: Hilfe! ich bin gehackt worden - Was Nun?

In den letzten Wochen hört man viel von gehackten Joomla! Seiten. Die Exploits, welche mit J! 3.4.6 behoben worden worden sind, wurden offenbar von vielen nicht ernst genommen. Andere wiederum kümmern sich halt erst um ihre Seiten, wenn der Schaden schon angerichtet ist.
Viele gute Ratschläge werden überall laut, auch hier im Forum. Manche sind hilfreich, andere lenken von der eigentlichen Problematik eher ab.
Ich habe schon vor mehr als einem halben Jahr einen Artikel zum Thema geschrieben, hab ihn aber aus verschiedenen Gründen nie fertiggestellt. Einerseits deshalb, weil ich andere Prioritäten hatte, andererseits aber deshalb, weil bereits genügend Lesestoff zum Thema angeboten wird.
Dennoch habe ich das Gefühl, hier und jetzt auch etwas zum Thema zu sagen. Das Hauptargument dafür ist, dass ich ernüchtert zur Kenntnis nehmen muss, dass viele Leute den Hack auf die leichte Schulter nehmen, und den Hack einfach mal so entfernen wollen - an ihren Liveseiten.
Das hat mich genügend gewurmt, den Artikel schleunigst fertigzustellen, zu aktualisieren und zu veröffentlichen.

Hier ist er .

An Allereinfachsten haben es die Leute, die Sicherheit ernst nehmen, und deshalb regelmässige Backups von Ihren Seiten herstellen. Mit einem Lächeln können sie ihre Seiten wieder herstellen

Ein wichtiger Hinweis dazu noch:
Vorher unbedingt immer erst sämtliche bestehende Dateien der gehackten Seite löschen. Denn ein Backup korrigiert lediglich die durch den Hack veränderten Dateien, nicht aber die durch den Hack zusätzlich erstellten: die würden ansonsten auch nach dem zurückspielen eines sauberen Backups weiterhin bestehen. Durch vorheriges komplettes löschen wird man aber auch die garantiert los.

Stimmt natürlich. In den verlinkten Anleitungen wird das auch erwähnt. Ich hab das in meinem Artikel ergänzt, danke für den hinweis.

Hallo Chris,
Danke für deinen ausführlichen Artikel zum Thema "Hacking". Obwohl ich nicht betroffen bin, hat er mich (so glaube ich) doch ein bisschen sensibilisiert und ich bin noch motivierter unbedingt eine XAMPP-Installation meiner Web-Seiten zum Laufen zu bringen. Danke!
Lieber Gruss
Follower

Hänge mich zu diesem Thema auch mal kurz rein mit ev. nützlichen Infos.
Vorab: Joomla 3.4.8 ist aktuell und wurde auch immer mal kontrolliert. In den letzten Tagen fiel nur auf, dass die Anzeige der Site plötzlich lange dauerte, dabei entdeckte ich unten links den Hinweis "Warten auf gymweb.it(?)". Jetzt hats mich auch getroffen , zweimal innerhalb 2 Monaten sperrte mein Hoster die Domain mit einer Liste 'verseuchter' Files. Unverständlich, weshalb plötzlich der Ari Slider Schuld trägt.
Mit den zwei praktischen Tools virustotal.com und sitecheck.sucuri.net überprüfte ich dann die Site. Zwei bösartige Files waren möglicherweise Grund der Sperre: adminuslabs und BitDefender sowie ev. noch CLEAN MX. Viel konnte ich damit nicht anfangen, weil ich die Files auf dem Server nicht finden konnte und mir der Hoster auch nicht weiterhelfen konnte/wollte, nur Trost konnte er spenden und immer wieder darauf hinweisen, man soll seine Site immer wieder Updaten und die Plugins etc. auf dem neusten Stand halten.
Egal, kurzer entschlossen löschte ich die ganze Site (inkl. SQL DB!!), um sie auf der grünen Wiese neu aufzubauen, ohne jedoch vorher jedoch Screenshots der Struktur erstellt zu haben.
Es wird immer schlimmer im Internet....
Hoffe mit den beiden obgenannten Links dem einen oder anderen User zu helfen, seine Sites zu überprüfen, bevor es zu spät ist.
Gruss
Livio

Gegen eine Vielzahl "bekannter" Attacken nützliches Tool (Sicherheitsmassnahme/künftiger Schutz gegen Hacker), gibt's mit limitiertem Funktionsumfang auch als Gratis-Version: AdminTools

Habe damit bisher hervorragende Erfahrungen gemacht. Weitere Infos auch hier: JED

Danke für den Tipp. Habe das Tool bis J2.5 immer installiert. Jetzt hole ich mir die neuste Version und installiere sie.
Gruss
Livio

Mache auch regelmässig Backup (Cronjob) so vergisst man es nie und habe AdminTool die Vollversion. Es wurden schon öfters automatisch IP-Adressen gesperrt, die versucht haben sich in die Seite zu hacken (werde immer darüber informiert). Ich habe dieses Tool auf allen meinen Seiten, es ist es wert, hatte zum Glück noch nie einen richtigen Hack. Wie auch Chris gesagt hat, muss ein Joomla Update immer so schnell wie möglich gemacht werden.