Joomla Website gehackt? So geht ihr am besten vor.

Eines Morgens wacht ihr auf und stellt mit Entsetzten fest, dass eure Joomla Website gehackt ist. Die Inhalte sind völlig unbekannt, aber ihr könnt sie auch nicht über das Backend ändern, da ihr einfach keinen Backend-Zugang bekommt. Der Albtraum eines jeden Website-Inhaber ist wahr geworden. Eure Website wurde Opfer eines Hacks. Nun ist schnelles Handeln angesagt!

Eine gehackte Website ist nicht nur eine Gefahr für euch, sondern auch für die Nutzer eure Website. Aber was tun?

1. Website offline nehmen

Der Grund eure Website schnellstmöglich offline zuschalten ist, dass nicht nur Schaden auf eurem System angerichtet werden kann, sondern ebenfalls bei Besuchern eurer Website. Gute Beispiele sind Phishingscripts, Spams, illegale Downloads usw. Da ihr der Domaineigentümer seid, könnt ihr für entstehende Schäden ggf. sogar haftbar gemacht werden. Dann sollte eine Datensicherung des infizierten Datenstandes erfolgen, damit ihr Untersuchungen anstellen könnt, wie der Angreifer in euer System gelangen konnte.

Vorgehen

• Passwortschutz in .htaccess setzen oder Basisverzeichnis umbenennen
• Alle vorhanden Daten vom Server herunterladen und anschließend löschen
• Datenbanksicherung herunterladen
• Alle Zugriffsmethoden wie FTP, SSH oder sonstige deaktivieren

2. Gehackte Website untersuchen und Sicherheitslücke finden

Eine intensive Untersuchung der gehackten Website ist unumgänglich. Die Sicherheitslücke muss gefunden werden, um weitere Angriffe dieser Art zu verhindern. Wird die Sicherheitslücke nicht gefunden, besteht die Gefahr das Angreifer immer wieder automatisiert eure Website hacken.

Vorgehen

• Zeitstempel veränderter Dateien ermitteln
• Web-Server-Logs und FTP-Server-Logs untersuchen
• Eigene Computer nach Trojaner durchsuchen
• Joomla-User prüfen, ob sich dort ein schwarzes Schaf eingeschlichen hat, ggf. sogar als Super-User
• Nach typischen Mustern in den Dateien suchen (z.B. base64, iframe etc.)
• Nach Auffälligkeiten in den Logfile-Statistiken suchen
• Vergleichen aller Dateien inkl. Inhalte mit Sicherungsdaten vor dem Hack
• Virenscan mit guter Anti-Viren-Software auf aktuellstem Stand

3. Backup der Website einspielen

Nach der Löschung aller Daten auf dem Server, kann ein Backup der Website vor dem Angriff eingespielt werden. Wichtig ist dabei, dass wirklich alle Daten von der infizierten Website unwiderruflich gelöscht werden. Hacker hinterlassen meistens Backdoor-Scripte, über die sie später immer wieder Zugriff auf den Webspace erlangen können. Hinter diesen Backdoor-Scripten stecken oft Shell-Scripte, die sich hinter bekannten Dateinamen verstecken. Aus diesem Grund ist eine komplette Löschung der alten Dateien auch so wichtig.

Vorgehen

• FTP-Passwörter mit Hilfe der Webhosting-Verwaltung neu setzen
• Alte Dateien löschen und aktuelles Backup einspielen
• Datenbankinhalte per phpMyAdmin löschen und Datenbank-Dump einspielen
• E-Mail-Adressen und Passwörter aller Super-User im Joomla-Backend prüfen und ggf. ändern