Eine gehackte Joomla Site
Dass es sich empfiehlt, auch eine nach einem Hack vermeintlich schnell wieder hergestellte Website genau unter die Lupe zu nehmen oder besser nach Datenbank Backup und Kontrolle komplett neu zu installieren, zeigt folgendes Beispiel:
Ein Kollege bat mich mal eine Website anzusehen, die sich im Internet Explorer seltsam verhielt.
Na gut, es gibt viele Websites, die sich im Internet Explorer komisch verhalten…
Ich hab erstmal gar nicht auf die Tidy Fehler in meiner Firefox Leiste geschaut. Im internet Explorer erschien das ganze statt zentriert linksbündig und etwas zerfetzt. Eigentlich passiert sowas beispielsweise, wenn man beim Wrapper Element die margin-left und margin-right auto Anweisungen nicht setzt. Damit war das Problem aber nicht behoben. Der Firefox zeigte über die Web Developer Extension ein seltsam bis links gezogenes Suckerfish Menü Element, das außerdem etwas zu viel Höhe hatte. Trotzdem gab der Blick in den CSS Code keinerlei Hinweis auf irgendwelche Probleme. Dass das aber ausgerechnet bei einem Rocket Theme Template sein sollte, erschien mir, trotz aller vorgenommenen Modifikationen, doch irgendwie seltsam.
Also war klar: es muss entweder an einem Modul liegen, das ich so nicht installiert habe oder aber an irgendwas ganz anderem. Der Blick in den Validator samt Quellcode -der eigentlich immer der erste Schritt sein sollte- führte dann schließlich zum Erfolg:
Warnung: <!DOCTYPE> isn’t allowed after elements hieß es da, aber ausschließlich online und nicht bei meiner lokalen Installaton. Nee, also diesen Doctype Mist macht Andy Miller selbstverständlich nicht und auch mein Kollege weiß das. Im Quellcode fand sich dann vor der Doctype Deklaration
<font style=”position: absolute;overflow: hidden;height: 0;width: 0″><a href=”http://xxxx.com”>Buy Cheap Software - Discount Software</a></font>
Alles klar, oder?
Dies war in keiner Datei des Templates, in denen ich normalerweise wegen irgendwelcher Browser Absonderlichkeiten gesucht hätte, sondern in der index.php ins Root Verzeichnis eingetragen.
Was ich nicht wusste: diese Seite war vor einiger Zeit gehackt worden und bei der Gelegenheit hatten nette Leute wohl neben einigem anderen Mist auch diesen Fingerabdruck hinterlassen. Natürlich so, dass man das nicht auf den allerersten Blick erkennen konnte.
Nachdem die Zeile entfernt worden war, klappte es auch wieder mit dem IE.
Ich würde in diesem Fall (und auch jedem anderen) trotzdem dringend empfehlen, eine komplett neue Version des Systems einzuspielen, bei dieser Gelegenheit vielleicht auch zu überprüfen, ob es nicht ein neues Sicherheitsrelease gibt. Das ist zwar Arbeit, denn neben dem Core gibt es eventuell auch eine Menge an Erweiterungen, die aktualisiert werden müssen. Aber alles andere ist in jedem Fall erstens ein Sicherheitsrisiko und zweitens relativ unprofessionell. Übrigens war hier von Sicherheit überhaupt nicht die Rede… Und da hilft’s dann auch nicht, dass man mit seiner gehackten Website in guter Gesellschaft ist, wie einem einschlägige Links manchmal zeigen.
