Keine Panik!
Haben Sie ein aktuelles Backup und möglichst ein paar ältere Backups der gesamten Installation (Dateien und Datenbank)? Dann ist (fast) alles gut.
Sie sollten jetzt zunächst alle Dateien, den aktuellen Datenbankinhalt und alle Logdateien Ihres Webspace möglichst auf einem externen Server oder Ihrem PC zur Beweissicherung speichern.
Als Nächstes sollten Sie die herunter geladenen Dateien auf Veränderungen in index.php-Dateien im Wurzel-, im /administrator- und in den Template-Verzeichnissen überprüfen und nach verdächtigen Dateien wie z.B. PHP-Dateien im /images- und im Wurzelverzeichnis schauen.
Die Logdateien sind auf POST-Einträge zu untersuchen, da darüber häufig der Weg gefunden werden kann, über den Schadcode eingeschleust wurde. Über die POST-Einträge ist die jeweilige Komponente zu identifizieren, welche möglicherweise die Sicherheitslücke enthält, die zum Hack geführt hat.
Überprüfen Sie anschließend auf den Websites der Programmierer der betreffenden Erweiterungen, ob mit den Aktualisierungen auch diese Lücken geschlossen wurden (Stichwort: Changelogs). Damit sollte Ihre Joomla-Website wieder sicher weiter betrieben werden können.
Anschließend sollten Sie die gesamte Joomla-Installation und den Datenbankinhalt löschen und aus dem Backup wieder herstellen. Achtung: ein Überschreiben der Installation reicht normalerweise nicht, da damit der Schadcode höchstwahrscheinlich nicht überschrieben wird. Außerdem sollten Sie Ihre aus dem Backup wiederhergestellte Joomla-Installation darauf überprüfen, ob diese garantiert frei von Schadcode ist.
Direkt nach dem Wiederherstellen sollten Sie ihre Joomla-Installation auf den aktuellen Stand bringen (Joomla und alle Erweiterungen aktualisieren). Es wäre auch gut, die Passwörter aller Benutzer mit Administratorrechten zu ändern.
Und falls Ihnen das alles zu technisch ist und Sie das lieber von einem Experten machen lassen möchten: rufen Sie an unter +49 231 7257663 oder nutzen Sie das Kontaktformular.
