Weisse Seite oder langsame Seite
- joomlaplates
-
Autor
- Moderator
-
- Beiträge: 2628
- Dank erhalten: 403
Wenn ihre Webseite extrem langsam ist oder sie nur eine weisse Seite sehen oder das Design extrem verschoben, dann konnte es sein dass ihre Seite gehackt wurde
1.) Wenn ihr Admin Bereich durch eine .htaccess geschutzt war, hatte der Angreifer keine Chancen, hier installieren sie nur das Astroid Update
2.) Suchen sie in Joomla > Plugin > Payload | Falls nicht vorhanden, sofort Admin Bereich via .htaccess schutzen und das Astroid Update installieren
3.) Sollten sie ein payload Plugin finden, hilft leider auch das deinstallieren nichts mehr, weil das Plugin bereits ihre Joomla Version mit weiteren suspekten Files verseucht hat.
4.) Bei einem Payload Fund mussen sie ein Backup zuruckspielen, das alter als 7 Tage ist, also vor dem 22.02.2026
---
Bitte folgen Sie den folgenden Schritten.
Angriff Vektor
Wenn Sie keine Sicherung ab dem Datum vor dem Hacking nicht wiederherstellen konnen, gehen sie wie folgt vorWenn Sie von Mitte Februar ein Backup haben, stellen Sie es bitte wieder her und aktualisieren Sie Astroid so schnell wie möglich auf die neueste Version und ganz wichtig, erstellen sie einen .htaccess Schutz fur ihr Backend.
1.) Wenn ihr Admin Bereich durch eine .htaccess geschutzt war, hatte der Angreifer keine Chancen, hier installieren sie nur das Astroid Update
2.) Suchen sie in Joomla > Plugin > Payload | Falls nicht vorhanden, sofort Admin Bereich via .htaccess schutzen und das Astroid Update installieren
3.) Sollten sie ein payload Plugin finden, hilft leider auch das deinstallieren nichts mehr, weil das Plugin bereits ihre Joomla Version mit weiteren suspekten Files verseucht hat.
4.) Bei einem Payload Fund mussen sie ein Backup zuruckspielen, das alter als 7 Tage ist, also vor dem 22.02.2026
---
Bitte folgen Sie den folgenden Schritten.
Angriff Vektor
- Sicherheitslücke: CVE-2026-21628 (CVSS 10.0 Critical) Authentifizierungsbypass in Astroid Framework
- Gepatcht in: Astroid Framework v3.3.11 (5. März 2026)
- Methode: Attacker hat einen PHP-Dropper hochgeladen, der als SVG-Bild über den Astroid AJAX-Endpunkt getarnt ist, der
Installierte zwei bösartige System-Plugins
- System - BLPayload (Plugins/System/Blastladung/)
- System - JCachePro (Plugins/System/jcachepro/) Begleit-Plugin
- Plugin & Dateientfernung
- Deaktivieren und deinstallieren des System - BLPayload-Plugin
- Deaktivieren und deinstallieren des System - JCachePro Plugin
- Manuelles loschen von Plugins/System/blpayload/ Verzeichnis
- Manuelles loschen von Plugins/system/jcachepro/ Verzeichnis
- Suche nach und entfernte Dropper-Dateien im Verzeichnis /images/ (Dateinamen wie blp_.php, blr_.php,
astroid_poc_*.php) - Löschen von bösartigen Cache-Dateien: plg_jcp_.html und plg_blpayload_ von /administrator/cache/
- Datenbankbereinigung
- BLPayload-Eintrag aus der #__extensions-Tabelle entfernen
- JCachePro-Eintrag aus der #__extensions-Tabelle entfernen
- Überprüfe #__update_sites auf Schurken-Update-Servereinträge
- Überprüfe #__users für nicht autorisierte Admin-Konten
- Zugang & Anmeldeinformationen
- Alle Joomla-Administrator-Passwörter ändern
- Das Datenbankbenutzerpasswort und die aktualisierte configuration.php ändern
- ändern der FTP/SFTP- und Hosting-Control-Panel-Passwörter
- Patching
- Aktualisieren sie Astroid Framework auf v3.3.11+ (kritisch schließt den Angriffsvektor)
- Aktualisieren sie Joomla Core auf neueste stabile Version
- Alle verbleibenden Erweiterungen aktualisiert
- Unbenutzte/nicht erkannte Erweiterungen entfernen
- Verifizierter .htaccess und configuration.php wurden nicht manipuliert
- Überprüfte Server-Cron-Aufträge auf nicht autorisierter Einträge
- Löschten von Joomla Cache und /tmp/ Verzeichnis
Last Edit:2 Stunden 23 Minuten her
von joomlaplates
Letzte Änderung: 2 Stunden 23 Minuten her von joomlaplates.
Dieses Thema wurde gesperrt.