leider, leider ist eine von mir betreute Seite Opfer eines Hacker-Angriffs geworden. Hätte mich Google (Webmaster-Tools) nicht drauf hingewiesen, hätte ich es wahrscheinlich nicht einmal gemerkt.
Folgende Meldung habe ich bekommen:
Gehackte Inhalte auf http://www.meinedomain.de/ erkannt
Google hat festgestellt, dass Ihre Website von Dritten gehackt wurde, die schädliche Inhalte auf einigen Ihrer Seiten erstellt haben. [...] Im Folgenden finden Sie einige Beispiel-URLs mit Seiten, die offenbar manipuliert wurden. Sehen Sie sich diese Seiten an, um ein besseres Verständnis dafür zu bekommen, wo der gehackte Inhalt erscheint. Die Liste ist nicht vollständig.
http://meinedomain.de/rmphuolto.fi/abnehmen1856/
http://meinedomain.de/www.---/abnehmen1856/
Eine manipulierte Datei konnte ich (anhand des Änderungsdatum) nicht ausfindig machen und auch sonst ist die Seite absolut unauffällig. Selbst die Funktion "Abruf wie durch Google" brachte nichts auffälliges ans Licht. Die .htaccess ist auch sauber. Ich habe also absolut keinen Ansatz, was diese Manipulation bewirken soll.
Blöd ist natürlich, dass die Seite bei Google mit dem Zusatz "Diese Website wurde möglicherweise gehackt." markiert wurde.
Nun zu meinen Fragen:
Gibt es bereits Erfahrungen zu solcher Art Angriff?
Kann man die möglicherweise manipulierte(n) Datei(en) anhand der REDAXO Struktur in irgendeiner Weise eingrenzen? Gibt es "typische" Dateien, ähnlich wie bei TYPO3, die einen solchen Hack ermöglichen? Wie gesagt: die .htaccess ist sauber.
Folgende Addons sind aktiv
- be_dashboard
be_search
be_style
agk_skin
cronjob
image_manager
import_export
maintenance_op
phpmailer
rexsearch
textile
tinymce
url_rewrite
version
xform
REDAXO: 4.4.1
PHP: 5.4.45
Ich freue mich über jede Antwort und Hilfe.
Viele Grüße
Cabby