Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Obwohl bereits auf joomla 2.5.1 geupdatet wurde, sperrt kurze Zeit später Google und Firefox meine Homepage. Malware wird auf meiner Homepage angeboten, der Virenscanner erkennt als Schadsoftware einen Trojaner und wenig später erhalte ich eine Benachrichtungsemail von Google-Adwords: "Ihr Adwords-Konto wurde vorübergehend deaktiviert!" Mein Internetauftritt befand sich nun im Wartungsmodus. Wie bekommt man sein System jetzt wieder in den Griff?

Erste Hilfe bei Malware

Im Homeverzeichnis und in den Unterverzeichnissen waren einige Dateien neu hinzugekommen. Oft hatten diese Dateinen auffälligen Namen. Daneben wurden mit Vorliebe alle index- (php, htm, html) Dateien überschrieben oder durch Javascript-Code erweitert. Im Adminbereich wurde die index.php vollkommen ersetzt. In einem Joomla System wurde versucht, Drupal-Erweiterungen zu installieren. Alle diese Dateien hatten eines gemeinsam: das Modifikationsdatum. Ziemlich auffällig. Nur im Serverlog fand sich genau für diesen Zeitraum kein Eintrag.

overview modified files

Da ich weiß, wie mühselig es ist, eine Joomla-Installation trotz Backup wieder für die Öffentlichkeit zugänglich zu machen, habe ich ein Script erstellt, welches die Arbeit vereinfacht. Die Abbildung zeigt die Benutzeroberfläche des Scripts. Ich habe mein Script check.php genannt, deshalb erscheint diese Datei orange hinterlegt und kann nicht gelöscht oder verändert werden.

Schritt 1:

Listen Sie alle veränderten Dateien auf. Löschen Sie alle neuen Dateien, die unmöglich zu Joomla gehören können.

Schritt 2:

Überschreiben Sie alle HTML index-Dateien mit dem von Joomla vorgegebenen Inhalt:

<!DOCTYPE html><title></title>

Schritt 3:

Löschen Sie alle Javascript-Codeblöcke, die in einer index.php nichts zu suchen haben. Das sind meist sehr lange Zahlen- und Buchstabenkolonnen, eingebettet in Javascript, mitten im Quellcode.

Schritt 4:

Falls es Dateien gibt, die komplett mit neuem Code überschrieben wurden, einfach ins Backup gehen und die korrekte Datei in das entsprechende Verzeichnis rüberziehen. Abschließend entweder auf seinem Google-Webmaster-Account selbst eine erneute Überprüfung auf Malware anfordern oder einfach warten. Falls die Überprüfung erfolgreich verlaufen ist, werden alle Konten wieder freigeschalten. Löschen Sie das Script nach erfolgreicher Herstellung aller Inhalte vom Server.

Alternativen:

Ein FTP-Client mit automatischer Backup-Funktion, der von sich aus fehlerhafte Dateien erkennt und mit den Originaldateien ersetzt, wäre die ideale Unterstützung. Ein Backup komplett aufspielen oder Joomla komplett neu installieren und die alte Datenbank einspielen wäre zeitintensiv, aber auch gleichzeitig eine gute Übung. Wer einen eigenen Server und über Console Zugriff auf grep bzw. vi hat, wird sich auf seine Art zu helfen wissen. Bei Interesse an dem Script kontakten Sie mich bitte per eMail.