Was genau ist passiert ?

Onkel Lars hat Omas Handy „neu“ gemacht  und als letzte Amtshandlung wollte er ihr meine Webseite auf den Bildschirm legen. Das klappte nicht, stattdessen erhielt er eine Fehlermeldung, die Webseite sei umgezogen oder nicht mehr existent und fragte bei Mutti nach.

Mutti bekam die gleiche Fehlermeldung. Ihr Versuch, sich als Administrator der Webseite einzuloggen wurde als fataler Fehler abgewiesen… „Fatal error: Class 'JModuleHelper' not found in /www/htdocs/xyz/administrator/components/com_login/views/login/tmpl/default.php on line 14”

Ein Anruf bei der Hotline des Webhosters ergab:

Mutti soll mal die E-Mail von früh morgens lesen (die natürlich im Spam-Filter gelandet ist Zunge raus), sich über den FTP-Server einloggen,  die in der E-Mail genannte Datei suchen und die dort angegebenen 40 Fehler beheben. Am besten, in dem sie die defekten Dateien durch Saubere aus einem funktionierenden Joomla ersetzt.
Ja, nee, is klar !?

Genau an dieser Stelle trennt sich die Spreu (der dusselige PC-Anwender) vom Weizen (Leuten, die Ahnung haben und wissen, was sie tun).

E-Mail vom Webhoster vom 11.5. – 5.10 Uhr

Virenfund in Account XYZ !

Sie erhalten diese automatische E-Mail von unserem Virenüberwachungssystem.

Ihre E-Mail-Adresse wurde von Ihnen als Kontakt für den betreffenden Account hinterlegt.

* VIRENFUND *

Bei einem routinemäßigen Virenscan wurden in Ihrem Account XYZ Dateien mit Schadcode gefunden. Um die Besucher Ihrer Webseite zu schützen, haben wir diese Dateien nach Möglichkeit umbenannt und gesperrt. Die Liste der Dateien finden Sie in Ihrem FTP-Account unter:  /www/htdocs/XYZ/logs/viren_log_2014_05_11.html

* URSACHEN *

Häufige Ursachen für Virenbefall im FTP-Account sind Sicherheitslücken in oft nicht aktualisierten Scripten wie CMS, Shop, Forum, Gästebücher usw., oder ein Befall mit Schadcode auf dem PC, mit dem die Webseite bearbeitet wurde.

* MASSNAHMEN *

Wir empfehlen in jedem Fall ein sofortiges Ändern aller Zugangsdaten (Accountlogin, FTP, E-Mail-Passwörter), sowie eine gründliche Überprüfung des PCs mit geeigneter Software.

Am folgenden Tag kam die nächste E-Mail vom Webhoster (12.5. – 4:37 Uhr)

Wie wir soeben bei Wartungsarbeiten am Server feststellen mussten, wird über Ihren Kundenaccount eine stark erhöhte Anzahl von E-Mails mittels eines PHP-Scripts versendet. Wir möchten und müssten Sie an dieser Stelle darauf aufmerksam machen, dass wir dies nicht dulden können (siehe AGB's/Verbotenes).

Bitte prüfen Sie daher umgehend die auf dem Account verwendeten Scripte, da diese offenbar durch eine Sicherheitslücke zum Spammen missbraucht wurden. In diesem Fall sollten Sie auf diese Scripte verzichten oder auf eine aktuellere (sicherere) Version updaten.

Das verdächtige Script ist:

ole-wielebinski.de/images/phocagallery/2013_06/gallery.php

ole-wielebinski.de/modules/mod_fxprev/libraries/archives.php

Bitte prüfen Sie umgehend o.g. Scripte auf die Aktualität und auf mögliche Sicherheitslücken!

Durch den Massenmail-Versand schaden Sie nicht nur anderen Kunden, sondern auch sich selbst, da der Server mit überdurchschnittlich vielen E-Mails belastet ist und die Zustellung normaler E-Mails länger dauert. Unter Umständen wird durch dieses Spammen und die bereits erfolgreich versendeten E-Mails der Server in den kommenden Stunden in der Mehrzahl der im Internet aktiven Spamlisten stehen, wodurch ein Zustellen von Mails an andere E-Mailanbieter nicht mehr gewährleistet ist. Der Schaden ist in einem solchen Fall enorm! ...

Hier ein Erklärungsversuch:

Überall auf der Welt sitzen irgendwelche Penner, deren Job es ist, Spam-E-Mails zu verbreiten. Dieser Rotz muß von irgendwo verschickt werden. Aus diesem Grund sucht man sich eine Sicherheitslücke in einem System, bringt seine Dateien dort unter und verschickt dann von dort den ganzen Mist und bleibt selbst unerkannt. Das Ganze hat nichts damit zu tun, daß irgendjemand es auf die Webseite eines kleinen behinderten Kindes abgesehen hat. Es geht nur darum, sich irgendwo einzunisten.

In diesem Fall muß es eine Sicherheitslücke in Joomla gegeben haben, die womöglich durch den Webhoster noch unterstützt wird, was aber nicht zu beweisen ist. Auffällig ist nur, daß dieses „Problem“ gerne im Zusammenhang mit einem Anbieter im Internet beschrieben wird. Aber das mag auch Zufall sein.

To cut a long story short… Schöne Scheixxe !!!

Gott sei Dank konnten die Daten gerettet werden. Wäre die Arbeit von 6 Jahren weg gewesen, dann hätte Mutti den Kram hier eingestampft. Jetzt ist die Webseite erstmal soweit repariert, daß sie wieder läuft. Im Hintergrund ist noch einiges zu erledigen, aber immerhin !


Ich sage 1000 Dank an Muttis IT-Support, der sich des Problems angenommen hat.

Das ist keine Selbstverständlichkeit, daß sich jemand die Nächte um die Ohren schlägt und den ganzen Kram repariert. Danke. Danke. Danke.


Vielen Dank auch an Euch, meine treuen Leser ! Ich habe soviele Nachfragen bekommen. Viele waren besorgt, ob es mir womöglich nicht gut geht, andere sind gespannt auf Köln.

Mir geht es gut und ging es auch den letzten Monat gut. Ich werde berichten.

Eine Änderung wird es voraussichtlich geben. Mutti überlegt, öffentliche Beiträge zu schreiben und welche für registrierte Nutzer. Sollte es soweit sein, müßt Ihr Euch ggf. zum Lesen anmelden. Das ist jedoch noch nicht ausgereift.