Wissensdatenbank: Joomla!
Joomla gehackt - was ist zu tun?

Auf viele Sicherheitslücken werden Anwendern erst dann aufmerksam, wenn sie bereits aktiv auf der eigenen Joomla Webseite ausgenutzt wurden. Zum Bespiel weil ein Gästebuch mit Werbung überflutet, Spam unter falschen Namen versandt oder die Startseite verändert wurde. Besucher leiten plötzlich auf dubiose Glücksspielseiten weiter, oder es wird versucht Schadcode in den Browser zu laden und Google warnt vor dem Besuch des lieb gewonnenen Projekts. Gehackte Webseiten können sich auf unterschiedlichste Weise bemerkbar machen.

Genau in solchen Situationen ist es wichtig einen kühlen Kopf zu bewahren, den Schaden in möglichst engen Grenzen zu halten und gezielt zu reagieren. Überspringen Sie dabei bitte keine der hier genannten Schritte, sondern gehen genau nach Anleitung vor. Hat sich beispielsweise ein Trojaner auf Ihrem Rechner eingenistet und Sie scannen diesen nicht, dann werden die frisch geänderten Zugangsdaten nochmals an die Angreifer übermittelt und Ihre Webseite erneut infiziert.

Sofortmaßnahmen - den Schaden begrenzen

- Um Besucher zu schützen ist es wichtig als ersten den Zugang zur Webseite zu unterbinden. Am schnellsten und einfachsten geht dies über einen sogenannten "htaccess-Passwortschutz", der in der obersten Ebene Ihrer Webseite hinterlegt wird. Bei Paketen von Schwarzkünstler wäre dies der Ordner "html". Einen solchen htaccess-Schutz können Sie direkt über ihre Confixx-Oberfläche anlegen und auch wieder entfernen.

- Lassen Sie ihren Rechner mit einem aktuellen Antivirus-Programm auf eventuell vorhandene Trojaner oder Vieren überprüfen. Zum Beispiel mit einem speziellen Tool wie dem kostenlosen "Desinfec't" ( http://www.heise.de/ct/projekte/Desinfec-t-1213110.html ) von welchen man direkt booten und auf Virenjagt gehen kann.

- Sehr wichtig! Ändern Sie alle Zugangsdaten zu Ihrer Webseite und den damit verknüpften Diensten. Dies betrifft unter anderem den Zugang zu Ihrem Confixx, dem FTP, MySQL-Datenbanken, SSH, Email-Postfächern und selbstverständlich dem Joomla selbst. Sollten noch mehr Personen Zugriff zu diesen Bereichen haben, müssen auch sie sicherstellen das ihre Rechner sauber sind und sie ihre Zugangsdaten geändert haben.

- Fertigen Sie eine vollständige Sicherung Ihrer Webseite mit allen Dateien und der Datenbank an. Legen Sie diese gut zur Seite, sie dient als Grundlage für Ihren Neustart mit einem sauberen Joomla und als Rückversicherung falls etwas schief läuft.

Wichtige Information:
Sollte sicher sein das Ihr Joomla innerhalb der letzten 10 Tage gehackt wurde, so können Sie sich auch direkt an den Schwarzkünstler-Support wenden. Dieser ist in der Lage ein passendes Backup für Sie aufzuspielen, welches mindesten einen Tag vor dem entsprechenden Angriff lag. Bitte vergessen Sie dann aber nicht, sofort aktiv nach der Sicherheitslücke zu suchen und diese zu schließen.

Inventur anfertigen und Einfallstore finden

Ist der Zugriff auf die Webseite, deren Dienste und den eigenen Rechner unterbunden und abgesichert, geht es daran eine Inventur anzufertigen und das Einfallstor der Angreifer zu finden.

- Ist das Joomla und die darin installierten Erweiterungen, Plugins, Module und Templates aktuell? Beachten Sie dabei bitte auch explizit all jene Erweiterungen die Sie nicht aktiv nutzen. Dazu zählt beispielsweise auch das veraltete Framework eines nicht verwendeten Templates. Ausserdem lohnt sich ein Blick auf "die Liste der unsicheren Erweiterungen" von Joomla Security (http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterungen.html).

- Falls Sie sich zu den fortgeschrittenen Anwendern zählen können, bietet sich das Server-Log als Informationsquelle an. Denn dort sind nicht nur die regulären Aufrufe durch Besucher vermerkt, sondern auch welchen Wege die potenziellen Angreifer genommen haben. Wer sich in großen Datenbeständen heimisch fühlt und damit umgehen kann, findet hier sehr viele wertvolle Ansatzpunkte.


Webspace reinigen und neu starten

- Weiss man welche Schwachstelle sich die Angreifer zu nutze machen konnten kommt wohl der schmerzhafteste Schritt - alles muss runter vom Webspace. Das liegt ganz einfach in der Tatsache begründet, dass niemand sicher sagen kann ob eventuell Hintertüren in Form einer PHP-Shell oder anderer Skripte hinterlegt wurden. Achten Sie dabei bitte auch darauf sich unsichtbare Dateien anzeigen zu lassen. Eine entsprechende Option findet sich in jedem gängigen FTP-Programm.

Alternativ ist es für erfahrene Anwender aber auch möglich den Schadcode manuell aus den Dateien zu entfernen. Dazu benötigt man zuallererst den Code selbst den man aus einer der infizierten Dateien herauskopieren kann. Ist dieser vorhanden, helfen Programme wie der bekannte notepad++ Editor dabei diesen über Verzeichnisse hinweg zu finden und zu entfernen. Zuerst lokal innerhalb der Sicherung, um diese dann zurück auf den Webspace zu übertragen. Diese Methode empfiehlt sich aber wie gesagt nur für jene Anwender die dazu in der Lage sind Logfiles und Dateien zu analysieren, deren Inhalt sauber zu trennen und die schadhaften Stellen sicher zu entfernen.

- Ist der Webspace vollständig bereinigt kann ein frisches Joomla in der aktuellen Fassung aufgespielt werden. Dabei bitte nicht vergessen das ein Schritt von Joomla 1.0 auf Joomla 1.5, beziehungsweise von Joomla 1.5 auf Joomla 2.5 nicht "einfach so" vorgenommen werden kann, sondern eine Migration erfordern. Wie diese vorzunehmen ist lässt sich über eine Vielzahl von Anleitungen nachlesen.

- Liegen die Dateien des aktuellen Joomla vor, so kann die alte Datenbank in die Konfiguration integriert werden. Dazu bedienen wird uns der "configuration.php" des alten Joomla, welche in dessen Hauptverzeichnis zu finden ist. Beachten Sie aber bitte, dass wir einige Schritte weiter oben die Zugangsdaten geändert haben, zu denen eben auch die MySQL-Datenbanken gehören.

- Ist das Joomla in seiner Grundfassung betriebsbereit, können die benötigten Erweiterungen wieder installiert werden. Greifen Sie dazu bitte auch die original Pakete der Entwickler zurück, nicht auf eventuell noch vorhandene Zip-Dateien auf Ihrem Computer. Diese könnten bereits veraltet oder durch Dritte modifiziert worden sein.

- Kopieren Sie ihren Ordner, oder besser gesagt dessen Inhalt in Form der Bilder, zurück auf den Webspace. Achten Sie auch hier wieder auf eventuell versteckte Dateien (können Sie sich über ihr FTP-Programm anzeigen lassen) oder auf PHP-Dateien und Skripte, die nicht hierher gehören. Im Zweifel ist es in diesem Kontext besser diese nicht zu kopieren, sondern sich nur eine kleine Notiz zu machen. Läuft etwas nicht, so lassen sich diese auch noch nachträglich übertragen.

Sind all diese Schritte abgeschlossen, dass Joomla und deine Erweiterungen aktuell, die ehemals vorhanden Lücke geschlossen, so kann die ganz am Anfang gesetzte htaccess-Schutz über Confixx enfernt, und damit der Zugang zur Seite wieder freigegeben werden. Um zukünftig die Sicherheit Ihrer Seite zu erhöhen, ist es aber ratsam einen solchen Schutz im Administrator-Verzeichnis zu verwenden.

Bei der Wiederherstellung einer gehackten Webseite handelt es sich um eine anspruchsvolle Aufgabe, die selbst für fortgeschrittene Anwender alles andere als trivial ist. Wer auf Nummer sicher gehen möchte, oder wem schlicht die Zeit fehlt sich tief genug in die Materie einzuarbeiten, der kann diese Arbeiten auch von einem externen Dienstleister erledigen lassen. Eine gute Anlaufstelle ist zum Beispiel das weithin bekannte "http://joomlajobs.de", auf dem sich solche Anfragen einstellen und vergeben lassen.