Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

  • Hallo miteinander


    Ich habe folgendes Problem:
    ein von mir vor 3 Jahren im Auftrag aufgebautes Webprojekt mit Shop wurde halb fertig (Shop und Webseite stand, Zugang zum Shop aber auf Wunsch deaktiviert) abgegeben, da der Chef dieser Firma eigentlich keinen Webshop wollte. Das Projekt wurde mit Zugangsdaten und Doku und entsprechend halbfertig abgegeben. Die Webseite die über die Firma informiert blieb wunschgemäss online.

    Heute morgen früh nun wurde ich angerufen, man müsse den Shop unbedingt und sofort wieder online nehmen, sie hätten wegen Corona unzählige Anfragen über das Kontaktformular erhalten.


    Ich hatte die Zugangsdaten selber nicht mehr (es wurde ja keine Betreuung oder so vereinbart), weswegen ich um Aushändigung dieser bat. Dies war leider nicht möglich. Die Zugangsdaten zum Hoster erhielt ich über diesen, so dass ich Zugriff auf die Daten und PHPMyAdmin habe.
    htpasswd war dann auch keine Hürde.

    Bei der User Table ein entsprechend gesaltenes Passwot gesetzt, funktioniert leider noch immer nicht.

    Da das OTP zwar vorhanden ist, aber vielleicht da der Fehler liegt, es sonst aber zumindest komplizierter macht, dieses durch Umbennenung deaktiviert.

    Da über Passwort zurücksetzen der Fehler auftritt, dass man das Captcha lösen muss, es aber nicht angezeigt bekommt, obschon es beim Kontaktformular einwandfrei funktioniert, habe ich dieses über Umbenennung des Plugins deaktiviert. Das hilft aber leider auch nichts, also wieder aktiviert. Dies half leider nichts.

    Entsprechend über SQL den admin2 eingefügt, funktioniert leider auch nicht. - Ich bekomme die im Titel genannte Meldung.


    Nun weiss ich auch nicht weiter. Jemand eine Idee, was man machen kann?
    Muss man davon ausgehen, dass die Seite gehackt wurde? - Für mich spricht dagegen, dass der Inhalt nicht geschändet wurde, keine anderen Dienste eingebunden sind und der Hoster keine abuse Meldungen erhalten habe.


    Allerdings hat es seit Joomla Version 3.8.8 mehrere höhere CVEs gegeben.


    Weiss jemand weiter?


    MfG YAOU

  • Das klingt alles etwas konfus und man hat keinen wirklichen Durchblick wann was gemacht wurde.

    Die passenden Tipps zu geben ist deshalb nicht ganz einfach. Am besten, du suchst dir jemanden, der mit Hilfe der Daten vom Hoster den Zugang wieder herstellen und die Seite analysieren kann. Bei Bedarf kannst du dich gerne bei mir melden!

  • man hat keinen wirklichen Durchblick wann was gemacht wurde.

    Seite initial erstellt: 2017-2018


    Alles ab der zitierten Stelle ist heute.

    Ich hatte die Zugangsdaten selber nicht mehr



    Elwood Das habe ich ja schon, da aber eben dies nicht geht, da es am (nicht angezeigte) reCaptcha scheitert.
    Auf der _users Tabelle habe ich alle Benutzer kontrolliert, es sind keine neuen dabei, alle Erstellungen sind legitim. Die Gruppenzugehörigkeit war durchgehend legitim. Sicherheitshalber habe ich dennoch alle bis auf den Admin gelöscht und diesem ein neues Passwort (gesalted MD5). Ohne Erfolg.

    Daher habe ich den SQL manuell gesetzt, wie folgt, der Benutzer wurde erstellt, das Login mit admin2 und secret funktioniert dennoch nicht.

    SQL
    INSERT INTO `rbdb_users`
       (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
    VALUES ('Administrator2', 'admin2',
        'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
    INSERT INTO `rbdb_user_usergroup_map` (`user_id`,`group_id`)
    VALUES (LAST_INSERT_ID(),'8');


    Da die anderen Inhalte sauber eingebunden sind, kann ich nicht davon ausgehen, dass DB falsch angebunden sei, kontrolliert habe ich es dennoch, war aber alles in Ordnung.

  • Zitat

    Seite initial erstellt: 2017-2018


    Da weiß man jetzt nicht, was da so alles passiert ist.


    Zitat

    da es am (nicht angezeigte) reCaptcha scheitert.

    Wo wird denn ein Captcha angezeigt?

    Hast du mal einen Link zur Seite oder Screenshots?


    Wenn es das Joomla-reCaptcha ist, kannst du es in der configuration.php auf '0' setzten:


  • Wollte euch nur rasch informieren, das deaktivieren des captcha mit "0" statt "null" hat leider auch nichts gebracht.


    Letztendlich hatte ich auf nem Tape noch die Backups meines Rechners von damals, wo wie ich die gesamte Webpage und DB vor Abgabe gesichert hatte. Hab nun diese aufgespielt und sicherheitshalber jeweils von 3.8.8 auf 3.8.9, 3.8.10, ..., 3.9.1, ... auf 3.9.19 geupdated und dazwischen Backups gemacht (statt direkt, schlechte Erfahrungen und da bei jenem Hoster kein SSH muss ich Upload per SFTP machen, wollte es daher nicht riskieren.).


    Erweiterungen sind nun auch aktuallisiert, nun gilts diese wieder anzupassen und dann mal weiter schauen, was genau gewünscht wird.


    JoomlaWunder, würde es einen Unterschied machen, wenn er nicht mehr existiert? - Ich kann ja in die DB User rein und rausschreiben und es sollte tun. Habs mal eben auf meinem lokalen LAMP ausprobiert, und ich konnte den Superuser löschen und einen neuen erstellen. Alle User die das Gruppenattribut 8 haben sind SUs.