Website gehackt, Suche nach schadhafte function

**~Franzi~** · 20.05.2013, 12:29

Hallo Leute,

ich habe vor einer Woche festgestellt, dass meine Website wohl gehackt wurde.
Wenn ich auf meine Website gehe, wird mir von AVG angezeigt, dass ein Blackhole Exploit Kit (type 2292) sich auf meiner Internetseite eingeschleust hat. Vor einigen Wochen hatte ich auch eine Mail von meinem Webhoster bekommen, dass es vermehrt irgendwelche Angriffe auf Joomla und Wordpress Installationen gab.
Da ich ja bisher noch keine Erfahrungen mit solchen Hacking-Angriffen hatte, frage ich euch, ob ich da was alleine tun kann?! Ich hatte auch schon meinem Webhoster eine Mail geschrieben und die haben jetzt schon geantwortet, dass sie mir zwar gerne helfen würden, aber das nicht kostenlos ist, sondern 24,50 EUR / 15 Min kostet :-(

Mir ist aufgefallen, dass nach meinem HTML Code eine Javascript function eingefügt wird, die aber jedes Mal anders aussieht. Wie finde ich die nun am besten? Kann man die so einfach löschen? Oder wie soll ich nun vorgehen? Ich habe mir per FTP die aktuellsten Daten herunter geladen und wollte die Funktion suchen, aber ich hab ja keine Ahnung, wo die nun drinsteckt

Ich bin noch ziemliche Anfängerin, was Contao anbelangt...

Ich danke euch für Antworten und Hilfe!

~Franzi~

**ciaobello** · 20.05.2013, 14:51

Zitat von ~Franzi~

irgendwelche Angriffe auf Joomla und Wordpress Installationen gab.

Dann solltest Du aber auch bei Joomla und Wordpress gucken!

Seitens Contao findest Du hier was http://de.contaowiki.org/Contao_gehackt

**BugBuster** · 20.05.2013, 15:12

Mit Contao Check prüfen welche Dateien verändert wurden und mit den Originalen ersetzen.
Ansonsten wie im Wiki Link beschrieben.

**chris_engel** · 27.05.2013, 17:32

Melde hier ebenfalls eine Infektion durch "Blackhole Exploit Kit (type 2704) einer Contao 3.0.1 installation.
Ich lass mal Contao Check laufen und melde mich dann nochmal.

**BugBuster** · 27.05.2013, 17:58

Aus eigenem Interesse eine Bitte:
Sollten diese Dateien NICHT verseucht sein,

Code:

    index.php
    cron.php (Contao 2)
    system/cron/cron.php (Contao 3)
    contao/index.php
    contao/main.php

aber dafür andere, dann bitte eine Info hier, Zwecks Verbesserung meines Integrity Checks.
Danke.

**chris_engel** · 27.05.2013, 18:10

Die chron.php ist nicht infiziert, alle Anderen dafür schon - nach einer schnellen, manuellen Prüfung.
Der check Script funktioniert leider überhaupt nicht.

Ich habe den check ordner von github ausgechecked und in den Root des Servers hochgeladen.
Rufe ich also domain.com/check/ auf, bekomme ich folgende Ausgabe:

http://d.pr/i/SvUd

Und rufe ich domain.com/check/validate.php auf, kommt völliger Unsinn:

http://d.pr/i/a96y