Hallo,
mein Owncloud wurde gehackt, ich denke die Version war zu alt. Nun brauche ich Hilfe beim Update von Owncloud. Gern auch gegen eine kleine Gebühr.
Viele Grüße Hans
Welche Version nutzt du denn? Was für ein System (OS bzw. bei Shared Hoster)?
Falls das ganze System gehackt wurde, sollte man eher das System komplett neu aufsetzen, da es als kompromittiert angesehen werden muss.
Hallo, die Version ist 8.0.4, der Hoster ist all-inkl, PHP 5.6 (CGI).
ich hatte es schon einmal versucht upzugraden bin aber kläglich gescheitert. Ich suche im Grunde jemanden der das für mich macht ohne das Daten und User verloren gehen.
Wie gesagt gern auch gegen eine kleine Spende.
Die Seite wird nach dem Aufruf auf irgend eine Seite weitergeleitet. Hier anzuschauen cloud.wpt-gmbh.info
Viele Grüße Hans
Du kannst zunächst noch versuchen, ein Backup von deinen Daten zu machen, sofern sie überhaupt noch vorhanden sind. D.h. aus dem ownCloud-Verzeichnis sicherst du per FTP:
- data/-Verzeichnis
- config/-Verzeichnis
und dann noch deine Datenbank (über phpmyadmin oder sonst ein Interface, das dein Provider dir zur Verfügung stellt).
Möglicherweise hat der Einbrecher bereits die Daten gelöscht, dann müsstest du auf ein älteres Backup zurückgreifen. Da deine ganzen Daten als kompromittiert angesehen werden können, solltest du noch sicherstellen, dass dir im data-Verzeichnis keine schädlichen Dateien untergeschoben wurden (ggfs. nach Viren scannen).
Anschliessend am besten alle Passwörter bei deinem Provider erneuern (insb. FTP-Zugang und Datenbankzugang).
Diese Schritte kannst du vermutlich ohne externe Hilfe selbst erledigen. Je nachdem, ob und welche Daten du noch hast, bieten sich verschiedene Installations-/Konvertierungsoptionen an.
Also Daten sind noch da und unverändert. Der Abgleich mit dem Synctool läuft einwandfrei! Es scheint nur der Webbereich betroffen zu sein. Wenn man auf die Seite kommt blitzt auch das Login kurz auf bevor die Seite weitergeleitet wird.
Backups kann ich aber auf jeden Fall machen, auch von der DB.
Dann lege ich mal los, ich melde mich wenn es fertig ist.
VLG und Danke 
In diesem Fall sollte es relativ einfach sein. Also nach dem Backup:
- lösche alle Dateien/Verzeichnisse ausser das
data/undconfig/Verzeichnis - lade dir die neueste Version des 8.0-zweiges herunter: https://owncloud.org/changelog/#latest8.0
- entpacke das archiv und kopiere die Dateien in das Owncloud-Verzeichnis
- Beim nächsten Aufruf sollte das Update starten, falls du ssh-Zugang hast, kannst du auch den occ-Befehl nutzen.
Da 8.0 bald nicht mehr supported wird, solltest du langsam weiter Upgraden, du müsstest dann als nächstes auf 8.1.x, dann auf 8.2.x, ... usw upgraden.
Bei den Upgrades dann auch genau so verfahren? Also alles löschen ausser data und config, neue Dateien hochladen und starten?
Wenn ein Angreifer es schafft, ein Mailicious iframe (wie im vorliegenden Fall) in die Dateien von ownCloud zu packen sollte man definitiv nicht nur die oC installation neu aufsetzen.
Das mit den Update hat super geklappt, es läuft erst einmal wieder. Dafür ein dickes Danke...
Für die Upgrades zu 8.1.x, 8.2.x etc dann genau so verfahren? Also immer Dateien löschen und neue Daten hochladen, dann ausführen?
Viele Grüße Hans
Die Lücke habe ich auch gefunden, es waren alte Joomladaten die das ganze anfällig gemacht haben. Die entsprechneden Dateien wurden gelöscht. Danke für den Anstubser!
Viele Grüße Hans
Wie gesagt, Du solltest das ganze System komplett neu aufsetzen und nicht nur die entsprechenden Dateien löschen. Wenn ein System dermaßen kompromittiert ist, dann hat ein Angreifer höchst wahrscheinlich weitere Dateien oder sogar Dienste modifiziert an die Du momentan gar nicht denkst oder nicht bemerkst.