gehackt

ghostfriend · 12. Dezember 2019

Weiß jemand, was in der user_keys steht und wie es zu der Eintragung kommt?
Bei dieser Seite stehen 2 Eintragungen mit user_id die mir unbekannt sind.
Auf allen anderen Webseiten, wo ich Zugang auf die Datenbank habe, sind keine Eintragungen.

deejey · 12. Dezember 2019

Zitat von ghostfriend

j!-n Ich habe die Seite jetzt per htaccess gesperrt. Den provider scheint das Thema gar nicht zu interessieren. 3 Telefontae liefen ins Leere.

Viel kann er ja auch nicht machen, ihm ist wichtig, dass kein Schadcode seine Server beeinträchtigt oder als Spam-Schleuder missbraucht.

j!-n · 12. Dezember 2019

Hast du Zugriff auf die error.log Datei? Erst gestern hatte ich bei einem Kunden ein zu behebendes weisses Backend, bei dem es interessanter Weise das Quick Icon Plugin für die PHP Versionsprüfung war, welches einen (von mir geliebten) 500er Error warf. Allerdings war das eine 3.7.0, nach umbenennen per FTP des Plugin Verzeichnis war das Backend wieder da.

ghostfriend · 12. Dezember 2019

Oho, es kommt Hoffnung auf.
error.log kann ich nicht finden.
Hast du den Ordner quickicon umbenannt oder den Ordner phpversionscheck?

j!-n · 12. Dezember 2019

Letzteres Verzeichnis.

ghostfriend · 12. Dezember 2019

j!-n Unglaublich! Es hat geklappt, ich bin wieder im backend!
Danke danke lieber Chris!
Darf ich dich noch fragen:
Danach hast du sicher sowohl php als auch joomla geupdatet.
Und musste dann das Verzeichnis phpversionscheck wieder umbenannt werden?
Danke noch einmal!

j!-n · 12. Dezember 2019

Erst alle Erweiterungen, dann Joomla aktualisieren. Das umbenannte Verzeichnis kannst du dann löschen, das Plugin wird neu installiert. Vor den Aktualisierungen ein Backup machen. Und, auch mal auf Überprüfen gehen, und den Datenbank Link bei den Erweiterungen. Zum Schluss auf PHP 7.3 umstellen, prüfen.

Mich dünkt, dass das mit dem Versionshinweis Plugin ein Bug ist. Welche Joomla Version läuft bei dir?

ghostfriend · 12. Dezember 2019

Die joomla-Version ist 3.8.2.

faro · 12. Dezember 2019

Zitat von ghostfriend

php 5.6.40, Joomla 3.9.13

Moin, warum stand im ersten Bietrag "Joomla 3.9.13"? Die Tatsächliche Version hätte hier viele Beiträge erspart und einige Schweißtropfen weniger auf der Stirn verursacht......

ghostfriend · 12. Dezember 2019

Ohje, sorry. Ich hatte am Anfang geprüft, was meine Version und was die aktuelle sein sollte.
Das hatte ich mir notiert und im Zustand ziemlicher Nervostität habe ich am Anfang dann die falsche Version genannt.

flotte · 12. Dezember 2019

Zitat von j!-n

Hast du Zugriff auf die error.log Datei? Erst gestern hatte ich bei einem Kunden ein zu behebendes weisses Backend, bei dem es interessanter Weise das Quick Icon Plugin für die PHP Versionsprüfung war, welches einen (von mir geliebten) 500er Error warf. Allerdings war das eine 3.7.0, nach umbenennen per FTP des Plugin Verzeichnis war das Backend wieder da.

Das Phänomen ist mir auch bekannt. Sehr merkwürdig... Hatte neulich auch einen Kunden mit dem Problem.

j!-n · 13. Dezember 2019

Passiert, wie es aussieht, bei PHP 5.6, ich weiß nicht, ob es da aktuelle Patches gibt, die evtl das Joomla Plugin killen. Vielleicht mag das jemand testen.

Eine 3.8.2 ist entfernt zu der 3.7.0, mit der ich das Problem mit dem Plugin hatte.

ghostfriend · 13. Dezember 2019

Ich habe jetzt noch nichts geupdated, weder joomla noch php.
Hatte heute keine Zeit. Ich werde das am Montag machen.
Ich habe aber bemerkt, dass das Chronoforms im backend nicht mehr erreichbar ist. Also ist auch nicht abschaltbar.
Vielleicht liegt der Fehler auch an dem alten Chronoforms?

Könntet ihr mir noch einen Tipp geben, in welcher Reihenfolge ihr vorgehen würdet?
Erst php auf 7.2 oder erst Erweiterungen und Joomla updaten und dann php umstellen?
Sollte ich chronoforms vorher durch Umbenennung auf dem Server abschalten?

j!-n · 13. Dezember 2019

Steht alles in #27. Wenn CF schon jetzt nicht mehr geht, wird es das auch nicht nach Umstellung. Also auch aktualisieren.

Pest · 13. Dezember 2019

Und noch als kleine Ergänzung...

Sind Erweiterungen, Plugins, Module oder Templates dabei für die es keine Version für Joomla 3.x gibt ---> raus damit vor der Migration. Deaktivieren reicht nicht. Das man das alles auf einer separaten Kopie des Projekts macht, wurde ja bestimmt schon weiter oben geschrieben.

Gruß Jan

ghostfriend · 16. Dezember 2019

Pest

Zitat von Pest

Und noch als kleine Ergänzung...

Sind Erweiterungen, Plugins, Module oder Templates dabei für die es keine Version für Joomla 3.x gibt ---> raus damit vor der Migration. Deaktivieren reicht nicht. Das man das alles auf einer separaten Kopie des Projekts macht, wurde ja bestimmt schon weiter oben geschrieben.

Gruß Jan

Chronoforms sollte ich wohl als erstes rausschmeißen. Im backend ist es nur nicht mehr erreichbar. Es erscheint eine leere Seite und ich kann nur über den Zurückbutton wieder ins backend. Auf dem Server das entsprechende Verezeichnis umzubenennen ist die einzige Vorgehensweise, die mir einfällt. Gibt es bessere Möglichkeit Chronoforms loszuwerden? Wie gesagt, normal deinstallieren klappt nicht.

JoomlaWunder · 16. Dezember 2019

Zitat von ghostfriend

Chronoforms sollte ich wohl als erstes rausschmeißen. Im backend ist es nur nicht mehr erreichbar. Es erscheint eine leere Seite und ich kann nur über den Zurückbutton wieder ins backend. Auf dem Server das entsprechende Verezeichnis umzubenennen ist die einzige Vorgehensweise, die mir einfällt. Gibt es bessere Möglichkeit Chronoforms loszuwerden? Wie gesagt, normal deinstallieren klappt nicht.

Was heißt, es ist nicht mehr erreichbar? Wird es denn unter "Verwalten" nicht mehr angezeigt, eben dort, wo man es deinstallieren kann?

Pest · 16. Dezember 2019

Zitat von ghostfriend

Pest

Chronoforms sollte ich wohl als erstes rausschmeißen. Im backend ist es nur nicht mehr erreichbar. Es erscheint eine leere Seite und ich kann nur über den Zurückbutton wieder ins backend. Auf dem Server das entsprechende Verezeichnis umzubenennen ist die einzige Vorgehensweise, die mir einfällt. Gibt es bessere Möglichkeit Chronoforms loszuwerden? Wie gesagt, normal deinstallieren klappt nicht.

Wie JoomlaWunder bereits schrieb sollte man Chronoforms trotzdem über die (Joomla) Verwaltung deinstallieren können. Soweit ich mich erinnern bringt die Erweiterung auch Plugins und Module mit, da würde ein Umbenennen des Verzeichnisses nichts bringen.

ghostfriend · 16. Dezember 2019

Doch, unter Verwaltung habe ich es gefunden und Chronoforms deinstalliert.
Danke für den Hinweis.
Joomla läuft jetzt auf 3.9.13 und php auf 7.3.8!
Super!
Was leider auch noch Probleme macht ist Regular Labs Content Templater.
Das läuft zwar gut, ich kann es aber nicht updaten.
Dann kommt die Meldung, das die url nicht geöffnet werden kann.
Vielleicht habt ihr dafür noch einen Rat?
Aber soweit bin ich schon sehr happy!
Ich danke euch sehr!!!

Eine zweite Frage habe ich noch:
Gibt es irgendwelche Anzeichen, mit denen man herrausfinden kann, ob nicht doch jemand gehackt hat? Was mich immer noch stutzig macht ist der Eintrag in den user_notes, der freundliche Hinweis an mich, ich solle die Seiten updaten.

j!-n · 16. Dezember 2019

Zitat

Was leider auch noch Probleme macht ist Regular Labs Content Templater.

Das läuft zwar gut, ich kann es aber nicht updaten.

Herunterladen & installieren: https://www.regularlabs.com/extensions/contenttemplater

Zitat

Gibt es irgendwelche Anzeichen, mit denen man herrausfinden kann, ob nicht doch jemand gehackt hat? Was mich immer noch stutzig macht ist der Eintrag in den user_notes, der freundliche Hinweis an mich, ich solle die Seiten updaten.

Fast immer erkennt man das am Dateistand. Fremde Dateien, oder manipulierte Dateien. Alle User entfernen, das Backend mit htaccess schützen. Passwort ändern. ECC+ gegen Spam einrichten. Regelmäßig Backups fahren.