Gehackt? Wiederherstellen von fehlenden Verzeichnissen.
Eingetragen von DonQuijotte (2)am 25.04.2018 - 16:15 Uhr in
Hallo,
ich habe ein großes Problem mit einer Webseite, die ich seit Ende März betreue. Ich bin leider ein kompletter Neuling was Drupal angeht und auch mein Vorgänger konnte mir nur begrenzte Ratschläge geben. Deshalb hoffe ich auf eure Hilfe. Vielen Dank!
Drupal 7.51
Das Problem:
Wenn man die Seite aufruft kommt nur eine weiße Seite. Es funktionieren keine Nutzerseiten mehr. Verzeichnisse core & vendor nicht vorhanden.
Das habe ich bisher unternommen:
-Datenbank-Cache geleert
-Server neugestartet (Apache2)
-Error Ausgabe in der index.php angestellt
->Fatal-Error: autoload.php und der Ordner "vendor" nicht vorhanden.
->autoload.php angelegt und composer neu installiert
->Fatal-Error: Ordner "core" nicht vorhanden
Apache Error-Log:
Unitialized string offset: .../var/www/information.php
Negotiation: discovered file(s) matching request: /var/www/payload.php (None could be negotiated).
Als wäre das nicht genug, sind überall Dateien wie z.B. 432bj43apc.php, uhfiyrpr.php ... Diese enthalten ellen lange Hashes. Gehören die dahin oder könnte es ein Anzeichen dafür sein, dass es sich um einen Angriff auf unser System gehandelt hat? (wie in diesem Thread https://www.drupalcenter.de/node/57800)
Könnt ihr mir ein paar Tipps geben wie ich am besten weiter vorgehen sollte? Da das letzte Backup eine Weile her ist, wäre es am schönsten die fehlenden Dateien wiederherstellen zu können.
- Anmelden oder Registrieren um Kommentare zu schreiben
1, Frischen Core aus dem
am 25.04.2018 - 20:01 Uhr
1, Frischen Core aus dem Download-Zip Archive einspielen
2. Eventuell den Patch von heute einspielen, wenn er nicht schon drin ist. Weitere Informationen zum Patch gibt es im PSA-xx-Kanal auf drupalchat.eu und bestimmt auch hier im Center!
https://drupal-tv.de
Drupal sehen und lernen
Schade, die Seite wurde
am 25.04.2018 - 20:03 Uhr
Schade, die Seite wurde gehackt! Zur Wiederherstellung solltest du auf ein älteres Backup zugreifen, auch wenn bisherige Änderungen verloren gehen. Die Seite muss vollständig neu aufgebaut und dann umgehend auf die neuste Drupal Version aktualisiert werden.
Was ist zu tun? In Kurzform:
- Webseite offline nehmen
- Backup von gehackter Seite erstellen, ggf. kannst du dir noch Dateidownloads/Bilder aus dem files Verzeichnis kopieren
- Server absichern: FTP/SSH Passwort/MySQL ändern
- Malware in DocumentRoot vollständig löschen.
- Drupal Datenbank löschen
- Webseite weiterhin offline belassen!
- Neue Datenbank anlegen, DB Import aus älterem Backup
- Wiederherstellung von DocumentRoot mit funktionierender Drupal Installation vor dem Hack
- Drupal Core und Contrib Update auf neuste Versionen installieren, sodass sämtliche Sicherheitslücken geschlossen sind
- Im Status Report darf es keinerlei Fehler geben
Eine ausführliche Dokumentation findest du hier: Your Drupal site got hacked. Now what?
Grüße aus dem sonnigen Heidelberg.
Maker • Visual Designer • Site Builder https://binroth.com
Vielen Dank
am 26.04.2018 - 13:10 Uhr
Vielen Dank euch beiden für die schnellen Antworten.
Ich werde mich jetzt direkt mal dran machen und die Schritte befolgen.
Falls es zu weiteren Problemen kommt werde ich euch auf dem laufenden halten.