ABAKUS

Hallo Don_M,

willkommen hier im Forum.

Es sieht ganz danach aus, als hättest Du ein Plugin oder TEmplate für Joomlad verwendet, welche dir leider zugleich diese versteckten Links untergejubelt hat und damit zugleich Deine Seite zu einer cloakenden Seite gemacht hat (andree Inhalte für Suchmaschinen Spider).

Zu Deine Fragen:

Das PHP Gedöns kam aus einem Plugin oder Template. Ich kann Dir nicht sagen, welches Plugin oder Template es war, es sieht nach einem gefakten k2 aus, beim Original k2 habe ich eben auf die Schnelle nichts gefunden, was auf so ein Verhalten schließen lässt.

Falls Du keinerlei Plugins einsetzt und auch kein externes Template verwendest, solltest Du überprüfen, ob nicht der Server kompromitiert wurde, um diesen Code einzufügen. Für mich sieht das aber nach dem Werk eines Plugins/Templates aus.


Useraccount: Dieser scheint Teil des normalen Directory-Pfades bei dem Webhoster zu sein und kann somit über PHP ausgelesen werden.

Um es in Zukunft zu vermeiden: Bester Weg wäre, bei allen eingesetzten Plugins/Templates etc. jede Zeile Code durchzugehen - praktisch ist dies wohl kaum machbar. Also stattdessen darauf achten, welchen Ruf Plugins/Templates in der Joomla Community haben.

Google Ranking: Da es unsersiöse Links waren, kann es ein sog. Bad-Neighborhood geben. Das Entfernen der Links ist also ein erster Schritt in die richtige Richtung.

PS: Ich arbeite nicht mit Joomla (kenne noch den Vorgänger Mambo etwas), wollte Dir aber schon einmal eine Einschätzung auf Deine Fragen geben, da diese Art Probleme auch bei anderen CMS (Wordpress, Drupal, etc.) immer wieder auftauchen können.

Don_M hat geschrieben: - Was kann man tun, um so etwas in Zukunft zu vermeiden?

Bei updates oder wenn Du ein neues Modul installierst, speichere die Dateien erstmal lokal ab, öffne jede Datei mit Deinem Editor und lies Dir den Quelltext durch. Anders gehts nicht

Jommla! ist weit verbreitet und ein Gefrickle. Das macht es auch interessant für Leute, die gerne ihren Schund verbreiten wollen.

Vielen Dank chris21 und catcat für Eure Antworten.

@chris21:

ich vermute auch, dass die Links durch ein Plugin auf meine Seite gekommen sind. Das Template habe ich "mehr oder weniger" selbst gebastelt, allerdings mit einem Tool, dass dann hinterher die fertigen CSS-Dateien usw. ausgibt. Da ich auch für andere Seiten auf diese Weise Templates erstellt habe, bei denen das Problem nicht aufgetaucht ist, vermute ich auch, dass es durch ein Plugin zu meinem Problem kam.

Du hast auch Recht, ich muss vll. doch bedachter beim Installieren von Plugins sein. Wobei ich eigentlich eher schon vorsichtig vorgehe (zumindest dachte ich das von mir ).

Bzgl. Ranking habe ich das auch befürchtet, dass es wohl negative Auswirkungen hat. Danke für die Info mit dem Bad Neighborhood.

@catcat:

Scheint wohl wirklich die einzige Möglichkeit zu sein, den Quelltext immer zu checken. Na ja

Was ich auch aus Euren Antworten heraus hören konnte, scheint Joomla wohl nicht so das ideale CMS zu sein. Überlege auch schon, ob ich vll. auf Wordpress umsteige. Aber das ist wieder so ne grundsätzliche Geschichte.

Hi,

>Seitenname/components/com_k2copy_right.php

vermute mal ein Hacker, passiert gerne mal,
wenn man veraltete Versionen von Joomla benutzt.
im Ordner components/ direkt werden in der Regel keine PHP-Dateien
abgelegt

es gibt allerdings components/com_k2/

Hacker benutzen gerne ähnliche Dateinamen, damit man bei
Suchen nichts nicht sofort drauf stösst.

Was ist mit der Datei com_k2copy_right.php in dem Ordner
components

Blosses Löschen bringt gar nichts? Hasst du irgendwelche
verdächtigen Bewegungen in den Logs.

Entweder Update auf letzte Version (welche Version läuft bei dir) oder wenn nicht geht, von Hand die Schwachstellen beseitigen.

Gern gelesen docs.joomla.org/Vulnerable_Extensions_List (wenns mal lädt)

Oder Systemwechsel.

Grüsse

Hi bugscout,

danke für die Infos. Du hast Recht, ich sollte mal wieder ein Joomla-Update machen bei der Seite.

Habe mir gerade die von Dir angegebenen Pfade und Dateien angeschaut. Finde da aber nichts auffälliges. Wobei das Code-mäßig vll. auch meine Kompetenz überschreitet, muss ich zugeben.

Aber warum bringt denn das Löschen des Skriptes aus dem Template nichts? Habe gerade noch mal den Spider-Simulator laufen lassen und der findet, wie gesagt, keine verdächtigen Links mehr.

Hi,

wenn es ein Leck gibt, kommt der Hacker wieder.

Deshalb reicht blosses Löschen nicht.

Update ist die einfachste Lösung.

Sonst muss man die Logfiles nach Angriffen untersuchen
und geeignete Massnahmen einleiten.

z.B. bei mosConfig.absolute.path Injektion

RewriteCond %{QUERY_STRING} .*mosConfig.*[OR]
RewriteCond %{QUERY_STRING} .*mosconfig.*[OR]

in die htaccess

Wenn du magst, kannst du mir die Datei zumailen,
dann schau ich mal rein.

Grüsse

Hey,

vielen Dank noch mal. Ich probiere es jetzt erst mal mit dem Update.

Würde aber gerne noch mal auf Dein Angebot, die Dateien zu checken, zurückkommen, wenn das Problem nach dem Update wieder auftritt.

Mal was Generelles: finde die Hilfsbereitschaft in diesem Forum echt cool. Hoffe, dass ich auch mal meinen Teil zur Beantwortung von Fragen beitragen kann.

Viele Grüße

Dann viel Erfolg

Vielen Dank... ich melde mich, wenn es noch Probleme gibt.