Neuer Beitrag von Author "None" mit Spam

    Werte Gemeinde,

    heute bin ich beim Anlegen eines neuen Beitrags über einen vor zwei Tagen erstellten Eintrag gestolpert, der vom Author "None" angelegt wurde. Inhaltlich handelt es sich leider um Spam (Web-Hosting). Der Beitrag war noch nicht veröffentlicht.



    Es dürfen nur registrierte User Beiträge anlegen (zumindest hoffe ich, dies so konfiguriert zu haben) - aber dieser Beitrag wurde ja scheinbar von keinem Benutzer verfasst.

    Bis auf "Akeeba" und "German DE" sind die neusten Updates eingespielt.

    Was ist hier geschehen?

    Liebe Grüße,

    Johannes




    PHP Version 7.2.21

    Joomla! Version 3.9.5 Stable

    mysql Version 5.7.24-0ubuntu0.18.04.1-log

    Zitat von jomawi

    Bis auf "Akeeba" und "German DE" sind die neusten Updates eingespielt.

    Das sieht aber nicht so aus.


    Zitat von jomawi

    Joomla! Version 3.9.5 Stable

    Wir sind bei der Version 3.9.11.


    In den Joomla Standard-Benutzerrechten, darf erst die Benutzrgruppe "Autor" Beiträge verfassen. Registrierte dürfen nichst, außer Artikel die auf "registriert" stehen, lesen.


    Entweder Du hast die Benutzerrechte falsch konfiguriert oder Du wurdest gehackt.

    Gibt es denn unbekannte registrierte Benutzer die freigeschaltet sind?


    Ich vermute aber, dass Du die Benutzrrechte verstellt hast und auch Gäste Beiträge verfassen können.

    Hi,


    ich habe heute einen Kunden gehabt mit genau diesem Beitrag. War Joomla 3.9.11 und dieser Beitrag war in jeder Kategorie angelegt. Ist mir bis jetzt schleierhaft, wie der reingekommen ist. Hat irgendwer eine Idee?

    Indigo66 hat ja schon die richtigen Fragen gestellt. Müssen halt noch beantwortet werden ;)

    Zitat von Indigo66

    Gibt es denn unbekannte registrierte Benutzer die freigeschaltet sind?

    Nur, weil da "None" steht bedeutet das ja nicht, dass es nicht ggf. ein User mit eingetragenem Namen "None" ist.


    Es gibt auch eine Lücke, die ich bisher aber immer nur bei Seiten gesehen habe, die von Joomla 1.5 oder 2.5 migriert wurden, also verschleppt wurden. Oft musste ich dabei die komplette Rechteverwaltung über Datenbank restaurieren, um die Lücke wieder loszuwerden.


    Leider weiß ich nicht mehr, ob dabei auch Templatefehler, z.B. veraltete Overrides im Spiel waren.


    Da kann jedweder via Frontend Artikel anlegen, ggf. Bilder und, wenns ganz blöd läuft andere Dateiformate hochladen über eine etwas verstümmelte Editor-Oberfläche im Frontend, wenn man den passenden Link dazu kennt, der aber nicht schwer zu ertüfteln ist und in der Szene auch bekannt.

    Zitat von Indigo66

    Wir sind bei der Version 3.9.11.

    Im Joomla! Update habe ich den Default Update Channel eingestellt und war der Meinung, so immer die aktuellste Releases zu erhalten...

    Zitat von Indigo66

    In den Joomla Standard-Benutzerrechten, darf erst die Benutzrgruppe "Autor" Beiträge verfassen. Registrierte dürfen nichst, außer Artikel die auf "registriert" stehen, lesen.

    Da habe ich mich falsch ausgedrückt: Schreiben darf nur der Manager, Author, Editor oder Publisher. Registriert ist nur für Artikel, die "vorher gesichtet" werden sollen.

    Zitat von Indigo66

    Gibt es denn unbekannte registrierte Benutzer die freigeschaltet sind?

    Es gibt nur bekannte Benutzer, die sich auch vor dem fraglichen Zeitpunkt (30.08.2019) angemeldet hatten.


    Zitat von Indigo66

    Ich vermute aber, dass Du die Benutzrrechte verstellt hast und auch Gäste Beiträge verfassen können.

    Gäste haben keine Rechte - hier bin ich beim Standard geblieben.


    Zitat von Re:Later

    Nur, weil da "None" steht bedeutet das ja nicht, dass es nicht ggf. ein User mit eingetragenem Namen "None" ist.

    Im Gegensatz zu den anderen Benutzern, die man in der Beitragsliste als Author auch anklicken kann, wird "None" (ohne Hyperlink) nur angezeigt. Diesen User gibt es auch nicht.

    Zitat von Re:Later

    Es gibt auch eine Lücke, die ich bisher aber immer nur bei Seiten gesehen habe, die von Joomla 1.5 oder 2.5 migriert wurden, also verschleppt wurden. Oft musste ich dabei die komplette Rechteverwaltung über Datenbank restaurieren, um die Lücke wieder loszuwerden.

    Tatsächlich habe ich seinerzeit eine Migration (mit redMIGRATOR) von 1.5.x auf 3.x gemacht. Gibt es Details, wie hier die Rechteverwaltung wieder herzustellen ist? Schon in der alten Version 1.5.x gab es keine abweichenden Rechte und bei der neuen könnte mir vielleicht ein restaurierter joomla! Standard wieder helfen?

    Zitat von Re:Later

    Leider weiß ich nicht mehr, ob dabei auch Templatefehler, z.B. veraltete Overrides im Spiel waren.

    Ein Template habe ich damals verwende, bin aber mit der Migration auf ein neues umgestiegen. Overrides sagen mir leider nichts.


    Kann dem erstellten Beitrag noch etwas "entlockt" werden oder kann ich ihn löschen (er war ja auch noch nicht veröffentlicht)...


    Vielen Dank für Eure Hilfen und Rückmeldungen!

    Johannes

    Hast du mal mit php-myadmin geschaut, was für User in der DB angelegt sind und ob da auffällige Einträge sind?

    Es könnte scheinbar jemand den Beitrag anlegen und scheinbar auch ein Bild hochladen, wenn ich deine Screenshots richtig interpretiere.

    Wenn das bei meiner Webseite auftreten würde, würde ich einen professionellen Dienstleister beauftragen, ob ein Hack der Seite gegeben ist oder die gesamte Seite inklusive DB und kompletten Webspace löschen und die Seite neu machen. Die Gefahr auch für Besucher meiner Seite wäre mir zu groß.

    Der Bereiniger wird die Daten des Beitrags zum Abgleich mit Logeinträgen benötigen, so dass Löschen eher kontraproduktiv sein dürfte.

    Schau auch mal hier unter Anleitungen, zum Thema Seite gehackt was tun.

    Werden Beiträge nur im Backend oder auch über das Frontend angelegt? Ggf. Ist dass nicht korrekt eingestellt und hatte eine Lücke.

    Zitat von Lui_brempt

    Hast du mal mit php-myadmin geschaut, was für User in der DB angelegt sind und ob da auffällige Einträge sind?

    In der ..._users sind nur die Benutzer enthalten, die auch im Frontend angezeigt werden.

    Bei einem Benutzer gibt's einen Eintrag unter 'activation' (ein längerer hex-String) und hier zeigt der Passwort-Reset-Counter die Zahl 4 an. Kein anderer User hat bisher sein Passwort zurückgesetzt. Der "echte" User wird diesen Eintrag nicht vorgenommen haben - aber vielleicht gab's hier ein Problem. Morgen werde ich die Dame anmailen und mich mal erkundigen... Die Passwort-Änderung erfolgte am 17.7.2019.

    Zitat von Lui_brempt

    würde ich einen professionellen Dienstleister beauftragen

    Gibt es dazu Empfehlungen aus dem Forum, wohin ich mich wenden könnte?

    Zitat von Lui_brempt

    Schau auch mal hier unter Anleitungen, zum Thema Seite gehackt was tun.

    Danke - schaue ich mir an. Das ist leider ein Zeitproblem. Mehr, als diese Indizien habe ich nicht. Wo soll ich anfangen?


    Zitat von Lui_brempt

    Werden Beiträge nur im Backend oder auch über das Frontend angelegt?

    Beides ist möglich - aber immer erst nach Anmeldung. Was wäre hier ein klassischer Fehler?

    Hi,


    habe reinschauen dürfen.


    Die Kategorie, in der der Beitrag erstellt wurde, hatte falsche Berechtigungen:



    Über den Direktlink konnten öffentlich neue Beiträge für die Kategorie eingereicht werden:

    /index.php?option=com_content&view=form&layout=edit


    Außerdem war es möglich öffentlich die bestehenden Beiträge (über den Direktlink) zu bearbeiten.

    Obacht also beim Setzen von Berechtigungen..! :)


    Das Update von 3.9.5 auf 3.9.11 wurde erst nach Klick auf [ Aktualisierungen prüfen ] in der Update Komponente angezeigt.


    Gruß


    Pascal