Probleme nach der Wiederherstellung einer gehackten Seite
Eingetragen von chrglamm (3)am 21.11.2018 - 18:07 Uhr in
Hallo Forum,
vorab: Ich bin neu im Forum und habe keine Erfahrung mit Drupal. Meine Welt sind eigentlich andere CMS-Systeme und der IT-Support von Werbeagenturen.
Einer meiner Kunden (Agentur) hatte für seinen Endkunden mit Drupal eine Site für ein größeres Sanitätshaus erstellt: sanitaerbez.de
Der entsprechende Mitarbeiter ist nicht mehr in der Agentur, sein Kollege (kein Drupal-Kenner) hat die Site technisch nicht gepflegt und die Agentur inzwischen auch verlassen. Die Redaktion innerhalb der Agentur kennt das BackEnd aber keine Einzelheiten.
Die Site wurde gehackt und mit Schadcode verseucht und dann durch den provider gesperrt.
Nun komm ich in's Spiel:
Ich habe den kompletten Schadcode (per FTP) gesucht und zeilenweise aus den php-Dateien entfernt. Gleichzeitig habe ich ein Update von 7.4 auf 7.6 vorgenommen.
Einiges lief etwas holprig aber ich hab's wieder hinbekommen bis auf das Back-End für die Redaktion!
Melde ich mit admin an und bekomme ich eine Seite mit der Meldung: Mitglied seit 5 Jahren 1 Monat. Sonst keine weitere Ausgabe! s. Bild
Das gleiche bekomme ich bei einer Anmeldung als Redakteur!
Gehe ich nach der Anmeldung als Admin mit der URL direkt auf eine Administrations-Seite (z.B. Stellenanzeigen) kann man dort alles bearbeiten.
Ebenso komme ich dann auch auf die Konfigurationsseiten/Dashboard von Drupal.
Mein Problem:
Wo muß ich ansetzen/suchen damit für den Redakteur, nach der Anmeldung mit seinem Login, sein freigegebene CM-Bereich sofort angezeigt wird.
D.h. Anmelden > Inhalte ändern bzw. neue einstellen
- Benutzerkonto für Redakteur ist vorhanden, kann ich in der Konfiguration einsehen
- Freigaben sind gesetzt
Würde mich über Tipps der Spezialisten freuen........
| Anhang | Größe |
|---|---|
| Bildschirmfoto 2018-11-21 um 17.52.34.png | 240.7 KB |
- Anmelden oder Registrieren um Kommentare zu schreiben
Der Haken mit einer gehackten
am 21.11.2018 - 18:43 Uhr
Der Haken mit einer gehackten Seite ist, daß die Angreifer oft Backdoors in die Datenbank einbauen. Das Bedeutet, Du darfst nur versuchen die Daten zu retten und mußt die Seite von Scratch neu aufbauen. Andernfalls läufst Du Gefahr, daß die Seite schnell wieder gehackt ist.
Auch die Datenbank habe ich
am 22.11.2018 - 08:13 Uhr
Auch die Datenbank habe ich bereinigt..... diverse Fake-Benutzer und Einträge mit Schadcode. Durch eine Zeichenfolge im Schadcode (Tag oder Link o.ä.) konnte man viel aufspüren, den Rest habe ich manuell durchsucht. Sind auch 2 Manntag drauf gegangen.
Nur den letzten Fehler: Warum erfolgt keine komplette Ausgabe bei der User-Anmeldung, den finde ich nicht. Da stößt mein logisches Verständnis ohne tiefere Drupal-Kenntnisse an seine Grenzen....
Für die Ausgabe im User-Interface ist auch ein eigenes Theme gesetzt und aktiviert!
Gibt es noch weitere Tipps. Für jeden bin ich sehr dankbar!
"Auch die Datenbank habe ich
am 22.11.2018 - 08:40 Uhr
"Auch die Datenbank habe ich bereinigt..... diverse Fake-Benutzer und Einträge mit Schadcode."
Da bist Du der erste Mensch, dem das gelungen ist. ;-)
Die traurige Tatsache ist, dass eine Datenbank nach so einem Hacking immer unsicher bleibt.
Diese Backdoor kann ja überall sein...
Und beim händischen Entfernen kann man auch was kaputt machen.
Man kann eigentlich nur auf ein sauberes Backup zurück gehen.
Einfach auf einer parallelen Testinstallation einrichten und evt. inhaltliche Änderungen händisch nach ziehen.
Dann sofort updaten und als neue Produktiv verwenden.
Oder neu aufbauen.
Die Manntage sind sonst verschwendet, weil immer noch unsicher.
Zitat: Für die Ausgabe im
am 22.11.2018 - 12:57 Uhr
Für die Ausgabe im User-Interface ist auch ein eigenes Theme gesetzt und aktiviert!
Kontrolliere mal unter Blöcke admin/structure/block ob in dem 2. Theme die Inhalte richtig zugeordnet sind, vielleicht ist einfach der Hauptinhalt nicht mehr unter Block / Inhalt bzw. der gewünschten Region vorhanden.
Unter Blöcke kannst du ja Inhalte auf verschiedene Themes verteilen, nach speichern springt Drupal immer zurück auf das erste Theme in den Tabs (bei mir zumindest).
Somit ist es mir auch schon passiert das ich im falschen Theme weiter gearbeitet habe, beruhigend dabei ist...meistens passiert es einem nur einmal.
Ansonsten kann ich dir auch nur raten die Seite neu und sauber aufzusetzen, es ist fast unmöglich händisch alle Dateien zu 100% zu bereinigen.
Grüße Jenna
Datenwiederherstellung empfohlen
am 22.11.2018 - 19:17 Uhr
Ich kann mich meinen Vorredner nur anschließen. Dieser Punkt ist sehr wichtig! Ohne die Wiederherstellung der Datenbank + Files VOR dem Hack machen alle weiteren Arbeiten keinen Sinn. Existieren keine Backups der Datenbank/Dateien muss die Seite neu aufgebaut werden. Mit händischem Löschen ist es nicht getan. Die Backdoor kann jederzeit ausgenutzt und die Seite erneut von den Angreifern unter Kontrolle gebracht werden.
Melde ich mit admin an und bekomme ich eine Seite mit der Meldung: Mitglied seit 5 Jahren 1 Monat. Sonst keine weitere Ausgabe! s. Bild. Das gleiche bekomme ich bei einer Anmeldung als Redakteur!
Das muss kein Fehler sein und ist abhängig von den gesetzten Berechtigungen. Die beschriebene Ansicht ist die Standardeinstellung. Die schwarze Toolbar ist nur dann sichtbar, wenn für die Rolle Redakteure unter (admin/people/permissions) Benutzer > Berechtigungen > "Administrations-Toolbar verwenden" aktiv ist. Jennas Punkt zur Blockansicht würde ich einmal prüfen.
Problem gelöst
am 27.11.2018 - 17:02 Uhr
Danke für den Tipp Berechtigungen, der hat mich auf die richtige Spur gebracht. Das entsprechende Modul Admin Menu 7.x war in den Moduleinstellungen nicht aktiviert.