Willkommen, Gast
Benutzername: Passwort: Angemeldet bleiben:
  • Seite:
  • 1
  • 2

THEMA: Hack trotz aktueller Installation ....??

Hack trotz aktueller Installation ....?? 20 Mär 2019 16:48 #46563

Wieder mal wurde zugeschlagen:
Der Hoster Hoststar informiert mich gerade, dass ein Web infiziert sei …
im FTP sehe ich unter dem Verzeichnis "Administrator" eine Datei ".bt" mit tausenden von IP-Nummern …..
Was auch immer passiert ist, jedenfalls war die Installation top aktuell …. und es hat auch keine abenteuerlichen Plugs oder Module enthalten …
Sicherung natürlich mit Akeeba immer gemacht …
Aber trotzdem, gefeit ist man offensichtlich nie …..???

Kann ich das Admin-Passwort auch über Backend ändern?

Stefan

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Letzte Änderung: von Runner.one.

Hack trotz aktueller Installation ....?? 21 Mär 2019 07:11 #46567

Schau mal nach, wann diese Datei erstellt wurde, und dann im access Log, was für Aufrufe an diesem Zeitpunt getätigt wurden.....das könnte dir ev. einen Anhaltspunkt auf die Lücke geben.

Und falls das deiner Meinung nach wirklich nicht mit einer Extension/Template zu tun hat, könntest du das ja mal dem Joomla Security Strike Team melden. Ev. kennen sie diesen Hack schon, und können dir die ausgenutzte Lücke nennen.

Denn nur wenn Fehler und Lücken gemeldet werden, kann auch etwas dahegen unternommen werden

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Man soll das Kind ins Korn werfen solange es noch heiss ist, auch wenn das der eine Tropfen ist, der dem Fass die Krone ins Gesicht schlägt...

Hack trotz aktueller Installation ....?? 21 Mär 2019 07:43 #46568

Situation heute Morgen (6.50 Uhr)
Habe gestern dem Hoster mitgeteilt, dass die Installation top aktuell sei, und ihn gebeten ein Restore mit Daten von Februar zu machen.
Dies ist offenbar geschehen, denn ich erhalte das Mail der fälligen Joomla Aktualisierung auf 3.9.4
soweit so gut.
Allerdings scheint es, dass der Provider diese Datei ".bt" (eine reine Textdatei) in das Verzeichnis "Admin" gelegt hat, ein Auszug aus der Logdatei
mit etwa 200000 IP-Nummern, um mir zu zeigen - allerdings verstehe ich nicht was genau ....

Auf jeden Fall ist diese Textdatei auch nach dem Restore noch drin - werde heute, sobald Support telefonisch erreichbar ist, nach dem Grund fragen.

Im Root sehe ich unter "Logs" eine Logdatei, in welcher ersichtlich ist, dass ein Scan gemacht wurde:

SCAN SUMMARY
Known viruses: 6189729
Engine version: 0.99.2
Scanned directories: 3064
Scanned files: 13763
Infected files: 0
Data scanned: 358.59 MB
Data read: 440.75 MB (ratio 0.81:1)
Time: 120.942 sec (2 m 0 s)



auf der "normalen" Logdatei sehe ich aber wieder eine russische IP mit mir nicht erklärbarem Inhalt, von heute Morgen.
ich lege den Auszug im Anhang bei

Danke für Tipps
Stefan
Anhänge:

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Letzte Änderung: von Runner.one.

Hack trotz aktueller Installation ....?? 21 Mär 2019 07:52 #46569

Hoi Stefan
Scan die seite durch myjoomla.com, der ist gut in diesem bereich.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Viele Grüsse

Adi Heutschi
www.adiheutschi.ch - webdesign - hosting - seo

Meine Dienste hier sind ehrenamtlich!
Umso mehr freue ich mich, wenn Du mir als Anerkennung eine positive Google Rezension hinterlassen würdest. Das kostet lediglich ein paar klicks... goo.gl/ZgD3jx VIELEN DANK!

Hack trotz aktueller Installation ....?? 21 Mär 2019 07:52 #46570

Hoi Stefan
Scan die seite durch myjoomla.com, der ist gut in diesem bereich.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Viele Grüsse

Adi Heutschi
www.adiheutschi.ch - webdesign - hosting - seo

Meine Dienste hier sind ehrenamtlich!
Umso mehr freue ich mich, wenn Du mir als Anerkennung eine positive Google Rezension hinterlassen würdest. Das kostet lediglich ein paar klicks... goo.gl/ZgD3jx VIELEN DANK!

Hack trotz aktueller Installation ....?? 21 Mär 2019 08:37 #46571

Der Access-Auszug zeigt nur, das versucht wurde, (Standard-)Urls einer Wordpress-Installation aufzurufen. Und wurden alle mit Statuscode 401 (Forbidden) beantwortet. Nur mit Statuscode 2xx war der Aufruf auch erfolgreich. Solche Versuche gibts zu tausenden auf jeder Seite. Mach mal das Redirect-Plugin an, dann siehst du diese 'Versuche'....

um mir zu zeigen - allerdings verstehe ich nicht was genau

Dann würde ich mal nachfragen, denn das ist wichtig, und es geht auch um deine Seite

Auf jeden Fall ist diese Textdatei auch nach dem Restore noch drin

Beim Restore einer gehackten Seite vorher das Verzeichnis (public_html o.ä.) IMMER erst komplett leeren. Denn alle durch den Hack zusätzlich erstellte Dateien verbleiben ansonsten im Verzeichnis auch nach dem Restore

mit mir nicht erklärbarem Inhalt

Auch da empfiehlt es sich, sich mal schlau zu machen, wie man eine solche Access Log Datei liest, resp. was drinnsteht und was es bedeutet. Solche Kleinigkeiten machen dann den Unterschied zwischen Hobby oder professionell, rosa Brille oder kompetent.
Folgende Benutzer bedankten sich: Runner.one

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Man soll das Kind ins Korn werfen solange es noch heiss ist, auch wenn das der eine Tropfen ist, der dem Fass die Krone ins Gesicht schlägt...

Hack trotz aktueller Installation ....?? 21 Mär 2019 09:19 #46572

Danke für deinen Input
Vom Support erhalte ich folgenden Link, der allenfalls die Datei ".bt" erklärt:

github.com/michael-nilsen/php-hacks/blob...1-redirect/README.md

huch ……

habe im An hang ein neuer Auszug vom Logfile, sind dies Angriffe auf den Admin ???
Stefan
Anhänge:

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Letzte Änderung: von Runner.one.

Hack trotz aktueller Installation ....?? 21 Mär 2019 10:37 #46573

danke Adi,
habe die Seite bei myJoomla.com gescannt, keine speziellen Erkenntnisse ….

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Hack trotz aktueller Installation ....?? 26 Apr 2019 14:34 #46684

Hallo. ich wurde auch schon mal von Russen gehäckt, da waren plötzlich ganz viele Benutzer vorhanden, obwohl ich Alleinadmin bin. Bin auch bei Hoststar. Die gaben mir einen wertvollen Hinweis. Ob ich ein Kontaktformular hätte - ja, klar. Dann musste ich den reCAPTCHA installieren. Hatte zuerst alle fremden Benutzer gelöscht und mit Videoanleitungen diese Captcha Sicherung gemacht. Seither ist Ruhe eingekehrt.
Evt. ist Dein Problem ein Grösseres, bin leider keine Expertin.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Hack trotz aktueller Installation ....?? 26 Apr 2019 16:04 #46685

Zwei Dinge können in Joomla quasi 'per default' zum Spammen benutzt werden:

- Benutzerregistrierung im Frontend (ist nach einer J-Installation immer eingeschaltet):
Der Spaminhalt (meist ein Link) wird als Benutzername an die Adresse des vermeintlich neuen Benutzers gesendet. Resultat: mehrer hundert bis tausend neue Benutzer plötzlich. Massnahmen: Captcha einbauen oder Benutzerregistrierung im FE deaktivieren, User im BE löschen (mit Hilfe der Filterfunktionen)

- ein neues Template mit Kontaktformular wird installiert. Dabei macht das Template meist ein paar Example-Kontakte unter 'Kontakte'. Diese beginnen meist mit der ID1. Und zusammen mit der Option 'Kopie der Nachricht an mich senden' hat der Spammer eine weitere Möglichkeit. Massnahme: Überflüssige Kontakte löschen, Captcha installieren, Option 'Kopie an mich' rausnehmen oder falls nicht gebraucht Komponente unpublishen.

Das sind so meine Erfahrungen mit Kundenwebseites. Und das hat nicht viel mit 'Hacken' zu tun, da werden einfach gewisse Umstände/Optionen ausgenutzt.

Diese Info hilft ja vielleicht der/dem/des einen oder anderen......:)

Mahlzeit
Roger

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Man soll das Kind ins Korn werfen solange es noch heiss ist, auch wenn das der eine Tropfen ist, der dem Fass die Krone ins Gesicht schlägt...
  • Seite:
  • 1
  • 2