Spam-Mails versendet

  • Hackerangriff auf eine Joomla!-Site?

    Liebe Joomla!-Fans und Profi-Gemeinde!


    Dieser Beitrag soll über einen möglichen Hackerangriff gehen.


    Aber zuerst würde ich mich gerne ein bisschen vorstellen. Ich lebe irgendwo :-) im Regierungsbezirk Köln, und werde demnächst 52 Jahre alt. Das Computern ist reines Hobby von mir; ich habe nichts dergleichen irgendwie offiziell gelernt, sei es Lehre oder Studium oder sowas.


    Am vergangenen Montag vor einer Woche wurde eine Joomla!-Website, die ich vor Jahren mal gemacht hatte, gehackt. Vermutlich.


    Ich bekam nämlich eine E-Mail des Hosters mit dem Betreff „Kundenbeschwerden“. Bin erstmal ganz schön erschrocken, musste aber feststellen, dass diese E-Mail echt war. Im Support-Bereich des entsprechenden Accounts fand ich eine Meldung in ‚zartrosa‘ :-) „Kunden-Beschwerden“. Im Ticketbeitrag war zu lesen, es habe sich ein Angreifer, wahrscheinlich über ein Joomla!-Kontakt-Modul, Zugang zu der Site verschafft und es sei ihm gelungen, PHP-Skripte zu platzieren. Nun versende die Site Spam-Mails. Der Hinweis sei von einem Dritten gekommen.


    Da war ich als relativer Laie ganz schön alarmiert.


    Ich hab dann zwei halbe Tage lang mit dem Hoster über Support-Ticket über die Sache geschrieben. Der Hoster hatte schon die sendmail-Funktion der Site sofort gesperrt, dafür aber nichts berechnet. Der Supporter vom Hoster war sehr nett und recherchierte zeitnah einen weiterführenden Artikel in einem Joomla!-Forum. Ich hatte auch ein bisschen was zu tun: ich schaltete die Site ab („Website ist offline – ja“), änderte das FTP-Passwort in ein noch stärkeres, und deaktivierte alle „Kontakte“-Module. Damit sei die Gefahr vielleicht erst einmal gebannt, meinte der Supporter. Er hat natürlich nix garantiert.


    Die Site war regelmäßig upgedatet worden, auch gibt es Backup-Zyklen. Aber wie das ja bei Schadcode so ist, man weiß ja nicht, seit wann… :-(


    Und vielleicht noch was: Bei der Erstinstallation hatte ich „mit Beispiel-Elementen“ ausgewählt. Diese nach Fertigstellung zu löschen, überstieg meine Fähigkeiten. Vielleicht kam der Angriff darüber? „Display errors“ war aber aus.


    Bei meinen anderen Joomla!-Sites habe ich dann überall dasselbe gemacht: Site aus, FTP-Passwort checken, „Kontakte“-Module deaktivieren.


    Dieser Beitrag ist sowas wie ne Warnung an euch, solltet ihr sowas brauchen können.


    Ich selber wäre bei Gelegenheit dankbar über nen Tipp, wie man das Backend-Passwort ändert.


    So, das war’s, ich hoffe, das war jetzt nicht zu viel epische Breite. :-)


    Joomla!-Version: 3.9.19


    mysql 5.7.25


    Viele liebe Grüße


    P.S.: Braucht ihr noch was von mir? Viel Erfolg bei allen euren Projekten!

  • Ich selber wäre bei Gelegenheit dankbar über nen Tipp, wie man das Backend-Passwort ändert.

    Ganz wichtig: Wenn man eine gehackte Seite vermutet, sollte man die Webseites (Frontend & Backend) sofort per .hatccess im Joomla-Root "sperren". Deaktivieren von Modulen, Offline-Schaltung und solche Sachen bringt so gut wie gar nichts.


    Hast du den so wichtigen administrator-Schutz per zusätzlichem Passwort über eine .htaccess im administrator-Verzeichnis eingerichtet? Das wäre der wichtigste Grundschutz, um Hacks zu vermeiden. Dieser zusätzliche Passwort-Schutz muss permanent vorhanden sein. Dann wäre es gar nicht möglich, die Backend-Einlogmaske aufzurufen ohne die zusätzlichen Zugangsdaten.


    Zur Ursache für den wahrscheinlichen Hack wird man nichts sagen können, wenn man die Seite nicht sauber analysiert. Da gäbe es viele mögliche Ursachen.

    Spam-Mails können schon versendet werden, wenn du die Option "Kopie an Absender" im Joomla-Kontaktformular aktiviert hast.


    Wenn du wirklich fremde Skripte auf dem Webspace hast, solltest du dir in jedem Fall Hilfe suchen. Das bekommst du ohne entsprechende Kenntnisse wohl nicht bereinigt. Alternativ: Seite komplett neu aufsetzen.


    Bist du SuperUser?


    Hier erhältst du weitere Infos: https://www.fc-hosting.de/supp…ehackte-website-hilfe.php

  • Hast du den so wichtigen administrator-Schutz per zusätzlichem Passwort über eine .htaccess im administrator-Verzeichnis eingerichtet?

    Nein, leider nicht.

    Das Front- und Backend habe ich gesperrt. Ich habe über den Hoster das ganze html-Verzeichnis .htaccess-passwortgeschützt.

    Zitat

    Bist du SuperUser?

    Ja.

    --- --- --- --- --- --- ---

    Um die Kontaktformular-Konfiguration konnte ich mich noch nicht kümmern.fie Die weiteren Infos (Link) habe ich auch noch nicht 'studieren' können.

    Grüße, Streethawk68 (on my way :-) )

    P.S.: Sorry, wegen der Missachtung der Forenregel. Es war zu lesen, der Thread sei über 365 Tage alt, das hatte ich fälschlicherweise ignoriert.

  • Wenn die Seite schon gehackt wurde/ist, würde ich sie professionell bereinigen lassen.


    Auch mal das FTP-Programm auf dem eigenen Rechner überprüfen.

    Nicht das da auch noch sich etwas bei den Zugangsdaten/Passwort versteckt hat.


    Ggf. löschen und neu installieren.

  • Hallo Joomla!-Fans und Joomla!-Profis (, liebe Community)! Ich betreue 5 Joomla!-Sites, oder ich sag besser Homepages :-)

    Nennen wir sie mal wie folgt, absteigend nach Wichtigkeit:

    • garden
    • scifi
    • therapy
    • markus
    • stories

    Folgende Maßnahmen habe ich für alle 5 gemacht, aufsteigend nach Wichtigkeit:

    • FTP-Passwort nötigenfalls verstärkt
    • Seite in den Wartungsmodus versetzt
    • Backend-Passwort geändert
    • alle deren Webspaces (über den Hoster) komplett-geschützt. Damit meine ich, die html-Verzeichnisse selbst, also die obersten Ebenen, sind jetzt .htaccess-geschützt (Ziel: die Seiten sollen in Ruhe weitergepflegt werden können (inhaltlich und technisch), bis der Angriff besser aufgeklärt ist)
    • Backup (über den Hoster)
    • Update

    Jetzt frag ich mich natürlich, ob das erstmal reicht. :-) Die Seite professionell bereinigen zu lassen, dürfte teuer werden? :-(


    Als FTP-Programm kam damals eine lizensierte Version von „Classic FTP“ von NCH-Software zum Einsatz. :-) Warum nicht FileZilla? Entweder, weil ich damals Probleme mit dem häuslichen Internetversorger hatte, oder weil ich nicht im Auge hatte, dass der lokalseitige Pfad der hochzuladenden Dateien viel zu lang war. Ansonsten benutze ich FileZilla in der aktuellen Version 3.49.1.


    Unterthema Viren… :-( Wenn mir nun ein Backup der Seite (Skripte und DB) vorliegt, und zwar ein vom Hoster kreiertes, von mir ausgelöstes, in der Form von:

    html.tar.gz

    mysql.tar.gz

    (files.tar.gz)


    ist der mögliche Schadcode dann da drin?? Was kann er dort noch anrichten?


    Hast du den so wichtigen administrator-Schutz per zusätzlichem Passwort über eine .htaccess im administrator-Verzeichnis eingerichtet? Das wäre der wichtigste Grundschutz, um Hacks zu vermeiden. Dieser zusätzliche Passwort-Schutz muss permanent vorhanden sein. Dann wäre es gar nicht möglich, die Backend-Einlogmaske aufzurufen ohne die zusätzlichen Zugangsdaten.

    Wie macht man das?


    PHP-Version: 7.3. Es sind nicht alle Erweiterungen auf dem neuesten Stand.

    Braucht ihr noch etwas von mir? System-Angaben oder so?

    Viel Erfolg bei euren Sachen! Grüße, Streethawk68

  • Moin,


    sind deine Seite bei verschiedenen Hostern bzw. hat jede Seite ihren eigenen Tarif oder befinden sich die Seite auf einem Account?


    Den Verzeichnisschutz kann man bei vielen Hostern direkt im Kundenaccount anlegen oder selbst erstellen:


    Hier mal zwei Seiten dazu:


    https://htpasswdgenerator.de/


    https://homepage-kosten.de/htaccess.php


    Hier noch ein paar Tipps zu Spamschutzeinstellungen:


    https://www.fc-hosting.de/joomla/joomla-spamschutz.php

  • Hallo Learner, Fans und Profis!


    KarEm, ich bin dir für deinen Tipp dankbar, erst einmal zu suchen. Bei Begeisterung kann man dieses generelle Prinzip schonmal versehentlich außer Acht lassen. :-)


    Was meinst du, KarEm, wäre folgender Link ein richtiger für das Problem des Schutzes der Backend-Eingabemaske? ;-)


    https://www.vi-solutions.de/de…-htaccess-passwort-schutz


    Ich konnte für die von mir betreute Homepage „scifi“ einen solchen Schutz erfolgreich anlegen. Außerdem habe ich auf dieser Seite die Kontaktmöglichkeiten auf ein Minimum reduziert (mit dem ‚Kunden‘ vorher abgesprochen):

    • Es gibt kein Kontaktformular mehr
    • Es gibt keinen Link „Kontakt“ mehr
    • Das Impressum besteht nur noch aus: Name, Adresse, Telefonnummer und E-Mail-Adresse
    • Die angegebene E-Mail-Adresse folgt dem Muster: hisname (at) example (dot) com
    • Frontend-Login-Modul versteckt

    Sinn und Zweck der Homepage (scifi) ist die Präsentation selbstgemalter Bilder. Ein kommerzielles Interesse besteht meines Wissens (noch) nicht.


    Was die mutmaßlich gehackte :-( Homepage betrifft (garden), so hatte JoomlaWunder den Link


    https://www.fc-hosting.de/supp…ehackte-website-hilfe.php


    vorgeschlagen. Hier ist es so, dass der ‚Kunde‘ ein anderes Budget hat, sodass ich nicht weiß, inwieweit er in der Lage wäre, eine Bereinigung zu finanzieren.


    Danke auch an Elwood für den Tipp, nötigenfalls das FTP-Programm zu überprüfen; der Hoster hatte aber gesagt, der Angriff kam allerhöchstwahrscheinlich über ein Kontakt-Formular, was ja dazu passt, dass ich nicht in der Lage war, die Beispielmodule zu deaktivieren. :-(


    sind deine Seite bei verschiedenen Hostern bzw. hat jede Seite ihren eigenen Tarif oder befinden sich die Seite auf einem Account?


    Elwood, zu den Seiten und Hostern: alles bei ein und demselben Hoster. „markus“ und „stories“ auf einem Account. „therapy“ teilt sich einen Account mit der Homepage „loft“, welche außerhalb meiner Zuständigkeit liegt.


    Das soll’s gewesen sein. Herzlichen Dank für eure Mithilfe. J4 am Start! :-)

  • Zitat

    markus“ und „stories“ auf einem Account. „therapy“ teilt sich einen Account mit der Homepage „loft“

    Ich wollte damit sagen, dass, wenn eine Seite gehackt wird, ggf. auch weitere Joomla-Installationen im selben Account/Root betroffen sein könnten.

  • Hallo ihrs! :-)

    Danke für diese Hinweise. Ich hatte ganz vergessen, euch zu fragen, ob die von mir im letzten Post dieses Threads gesagten Hackschutz-Maßnahmen ausreichen?

    Die Homepage soll spätestens Ende August 2020 live gehen. search

    Grüße, Streethawk68

  • Das lässt sich nicht so einfach beantworten. Die Maßnahmen dienen ja vorrangig dem Spamschutz. Eine 100%ige Absicherung das die Seite nicht gehackt wird, gibt es nicht und liegt nicht allein an Joomla. Der Server und die eingesetzte Software spielt hier auch eine ganz entscheidende Rolle. Wenn Updates regelmäßig eingespielt werden ist man schon "etwas sicherer".

  • Ich schau noch mind. 1x die Woche ins BE und mache dann gleich noch ein Backup.

    Dann noch das Backup auch auf den PC runterladen.

    Ich empfehle auch nicht alle alten Backups zu löschen. Behalte immer so die letzten 3-4 Backups.

    Dem kann ich mich nur anschließen. Ein wachsamer Webmaster prüft regelmäßig seine Website(s). Mindestens durch Einloggen ins Backup mit Prüfung auf Updates, Sichtung der Serverstatistiken (Unregelmäßigkeiten fallen dort schnell auf) und auch kurzer Check und Sichtung auf Dateiebene. Viele Hacks hinterlassen sofort erkennbare fragwürdige Dateien bereits auf Webroot-Ebene. All das sind ein paar Minuten Aufwand, wenn man es regelmäßig und geübt macht.


    PS:

    Backups würde ich sehr lange aufbewahren. Welchen Grund sollte es geben Backups zu löschen? Dann lieber mal 50 Eur in ne größere Festplatte investieren.

  • Zitat

    Dann lieber mal 50 Eur in ne größere Festplatte investieren.

    Jo, für 50€ kriegst du heutzutage schon eine 2TB-Festplatte.


    BTW:


    Man muss sich aber auch bewusst machen, was es bedeutet 'Webmaster' einer Seite zu sein.

    Je nachdem, wie die Vertäge sind, übernimmt man auch Verantwortung dafür.

    Über Haftbarkeit bei versäumter Wartung kann ich nichts sagen, bin kein RA, aber es gehört

    schon einiges dazu, gerade im Nebengewerbe, Webseiten zu Erstellen.


    Sorry, bin vom eigentlichen Thema/Titel abgewichen.

  • Elwood, zu den Seiten und Hostern: alles bei ein und demselben Hoster. „markus“ und „stories“ auf einem Account. „therapy“ teilt sich einen Account mit der Homepage „loft“, welche außerhalb meiner Zuständigkeit liegt.

    und die gehackte "garden" ist in seperatem account oder wo mit drin ?


    Was die mutmaßlich gehackte :-( Homepage betrifft (garden),

    Eventuell nützlich:


    Gehackte Webseiten - Erkennen, Bewerten, Bereinigen