Kurzer Hinweis für Leute, die eine Joomla-Instanz betreiben oder eine solche Installation in ihrem Umfeld kennen. Eine Schwachstelle im Helix3-Framework von JoomShaper wird durch ein Botnetz ausgenutzt, um Joomla-Instanzen zu infizieren. Dort taucht dann die Meldung "Hacked by AntonKill" oder auch "Hacked by trenggalek6etar" auf.
Die Content Management System (CMS) Plattform Joomla steht derzeit, auch über Schwachstellen in Zusatzkomponenten sicherheitstechnisch "unter Beschuss". Ende Juni 2026 gab es den Hinweis auf ein Sicherheitsupdate im Helix3-Framework von JoomShaper, welches eine Schwachstelle schließt (siehe z.B. diese Diskussion).
Blog-Leser Christian P. hat mich heute per E-Mail unter dem Betreff "Hacked by Antonkill Helix3-Lücke" kontaktiert. Er schrieb mir, dass er als IT-Administrator tätig sei. Ihm sind in seinem Umfeld einige Webseiten aufgefallen, die mit Joomla gehostet werden und über eine Schwachstelle im Helix3-Framework von JoomShaper angegriffen und defaced werden. Auf der Webseite taucht dann die Meldung "Hacked by AntonKill" oder auch "Hacked by trenggalek6etar" auf.
Christian hat mich dann auf eine deutsche Webseite hingewiesen, die im Beitrag Hacked by AntonKill: Helix3-Lücke in Joomla erkennen und beheben auf das Problem eingeht. Der Beitrag erklärt, was passiert ist, wie man feststellt, ob man von diesem Problem betroffen ist und wie man die Joomla-Installation bereinigen kann. Vielleicht hilft es ja jemandem.
Ähnliche Artikel:
Cybervorfälle, Hacks und Sicherheitslücken (18.6.2026)
Joomla: Schwachstelle CVE-2026-21628 im Astroid-Framework wird angegriffen



MVP: 2013 – 2016





Hatte mal einen Kunden der mit einem völlig veralteten Plesk Server zu mir kam auf dem diverse Joomla 3.x Webseiten liefen, damals schon seit 2 Jahren aus dem Support. Hetzner drohte den Server abzuschalten, wenn die Version nicht aktualisiert wird. Habe ich dann gemacht auf die nächste Plesk Version.
Update auf aktuelle Joomla Version wollte er nicht zahlen, da das dann doch etwas aufwändiger ist. Naja dann eben nicht. Waren teils schick designte Seiten von Sparkassen, Zahnärzten oder auch die einer Shopping mall in Hamburg.
Die Shopping Mall Seite ist heute ein statisches Abbild der ursprünglichen Seite ohne Bilder. Da hat er wohl jemanden gefunden der ihm aus den Resten irgendwas zusammengeschustert hat.
Aufgepasst wenn da Javascript Code eingefügt werden kann, sowas kann theoretisch auch Login-Daten bei der Eingabe abgreifen, daher Code bereinigen evtl. lieber direkt in der Datenbank statt über Admin Interface…