Aufgrund der häufigen Postings in allen möglichen Joomla-Forum gibt es jetzt hier eine kleine Anleitung was man tun kann wenn bereits ungewollte Besucher auf der eigenen Seite waren. Dies ist allerdings für den Notfall gedacht und kann nicht als Alternative zur Absicherung betrachtet werden. Micha und ein paar andere Mitglieder haben in diesem Thread sehr schön beschrienben wie man sein Joomla absichert und vorsorgt bevor etwas passiert. Hier gehts jetzt aber um das was man tun kann wenn das Kind bereits in den Brunnen gefallen ist. Begeben wir uns also auf Spurensuche und machen die ungewollten Änderungen dann (radikal) rückgängig.

1. Daten sichern (sofort!). Auch wenn die Seite selbst nicht mehr läuft ist es wichtig den "Ist-Zustand" auf einen sicheren Datenträger zu bekommen. Joomla selbst kann man relativ leicht wieder zum Laufen bewegen und reparieren, alle Artikel und Einträge in der Datenbank sind aber für immer verloren wenn zu gründlich und unüberlegt reagiert. Zu diesem Zeitpunkt nicht die Backupfunktion des Hoster benutzen, man überschreibt sonst das letzte funktierende Backup das retten könnte. Richtet einen neuen Ordner auf eurer Festplatte an und speichert dort die Daten. Hier eine Liste wie man vorgehen sollte...
   
   - Die Datenbank selbst mit phpmyadmin sichern, das ist das wichtigste an Joomla!
   - Den kompletten Ordner des verwendeten Templates
   - Den Ordner "images" damit die Bilder und Grafiken in Artikeln nicht verloren gehen.
   - Ist eine Galerie vorhanden müssen auch dort die Ordner mit den Bildern gesichert werden.
   - Je nach anderen Komponenten (z.B. Forum auch das Verzeichnis mit den Avataren der Benutzer) auch dort Daten sichern die nicht bei Joomla enthalten sind oder sich nicht nachträglich installieren lassen.
   
2. Hoster informieren. Logfiles sichern (lassen) und schauen ob ungewöhnliche URL's aufgerufen wurden. Hier findet man einen Hinweis wo der Angreifer eindrigen konnte und sich die potenzielle Schwachstelle befindet. Dieser Schritt ist ebenfalls wichtig wenn man Anzeige bei der Polizei erstatten möchte. Der Hoster könnte es bemerkt haben, muß es aber nicht zwangsläufig. Diese Information ist aber wichtig für ihn damit er kontrollieren kann ob evtl. weitere Programme ausserhalb von Joomla auf dem Server installiert wurden. Einfach eine kurze Mail mit eurem Webpaket, Namen und kurzer Info was passiert ist. Dies kann auch nützlich sein wenn der Hoster selbst für seine Kunden keine eigene Backup-Funktion anbietet, sie aber doch intern auf seinen Servern laufen lässt. Manche Hoster machen sich die Mühe dann gezielt nach euren Daten zu suchen. Teilweise gegen kleines Entgeld, fast immer aber als Support. Diesen Service benötigt man aber nicht wenn man (hoffentlich) selbst ein Backup angefertigt hat.
   
3. Da man nicht kontrollieren kann wo von den Angreifern überall Veränderungen vorgenommen wurden ist es nicht ratsam einfach die beschädigten Dateien neu aufzuspielen. Einfach Joomla neu aufspielen reicht eindeutig nicht! Habt ihr alle wichtigen Daten gesichert löscht den kompletten Webspace. Man kann nicht wissen was dort so an Hintertüren eingebaut wurde. Dies sollte man auch tun wenn man ein aktuelles Backup aufspielt. Programme wie z.B. Confixx überschreiben zwar vorhandene Dateien und Ordner, lassen aber alles andere stehen was sich nicht mit im Paket befindet.
   
4. Ist der Webspace sauber kann man das Backup aufspielen oder (falls nicht vorhanden) Joomla frisch installieren. Danach muß man aber sofort tätig werde um nicht erneut zur Zielscheibe zu werden.
   
   - Benutzt man ein Backup bitte sofort (!) alle Komponenten überprüfen und neuere Versionen installieren. Das dein Joomla gehackt wurde hatte einen Grund, und genau diesen muß man sofort absichern. Alles was nicht zwingend für eure Seite benötigt wird sofort deinstallieren. Die Rechte der Dateien und Ordner bitte nach der Anleitung von Micha entsprechend anpassen. Er hat dort eine sehr gute Anleitung geschrieben (Link siehe ganz oben).
   
   - Steht kein Backup zur Verfügung spielt man zuerst Joomla auf und ersetzt dann die Datenbank gegen seine Sicherung von vorhin. Auch hier werden alle Komponenten nur in der aktuellen Version installiert. Ist man sich unsicher ob ein Projekt noch gepflegt wird lässt man besser die Finger davon.
   
   - Sind die Komponenten installiert schaut man kurz in die Ordner der gesicherten Daten (die der Komponenten). Sind bei der Galerie auch wirklich nur Bilder drin? Ist man sich sicher kann man die Daten wieder auf den Webspace übertragen.
   
5. Läuft die Seite wieder sollte man trotzdem nochmal einen Blick auf die Dateirechte werfen und nach anderen Schwachstellen suchen. Ist das RegisterGlobals wirklich nötig? Ist die .htaccess mit dem Schutz von joomla.org ausgestattet?

Das beste Mittel ist aber noch immer sein Joomla und die verwendeten Komponenten aktuell zu halten. Das erspart jede Menge Nerven und Arbeit die man sinnvoller verbringen könnte. Ziel ist nicht das Joomla irgendwie läuft, Ziel ist das es sicher läuft und nicht mehr Schwachstellen als nötig bietet.