Ratlos, was da auf meinem Webspace passiert...

    Hallo zusammen,


    ich bin nicht sonderlich bewandert in Webfragen und habe mir damals meine Website mit einem Template selbst gebaut. Läuft soweit auch alles ganz gut, nur hab ich das Gefühl, daß immer wieder mal Spam-Attacken über meinen Webspace ausgeführt werden. Darum lasse ich mir von Strato regelmäßig meine Log-Files zusenden. Die Einträge hier beziehen sich so gut wie immer auf den Order "TEST", den ich mal auf dem Webspace angelegt hatte. Die Einträge variieren von 2 bis zu hunderten pro Tag. Vor 2 Wochen hielt ich mich für ganz geschickt und dachte, ich lösche einfach mal den Ordner TEST. Zu meiner großen Verwunderung war er einen Tag später wieder existent und die Einträge wurde auch wieder mehr. Muß ich mir Sorgen machen? Wie kann das sein und kann ich hiergegen irgendwas tun? Heute sah der Bericht wie folgt aus:


    Operationen auf Ihrem Webspace:



    Würd mich freuen, wenn hierzu jemand einen Tipp hat. Danke!

    Viele Grüße

    Jens

    Zitat von jaehns

    habe mir damals meine Website mit einem Template selbst gebaut.

    Wann damals?

    Wenn Du seit "damals" keine Updates gemacht hast, kann es sein, dass Dein Joomla gehackt wurde.
    Also um welche Version handelt es sich u nd welche Erweiterungen sind in Verwendung?

    Bitte lese die Forenregeln und verorge uns mit ausreichend Infos.

    Damals war tatsächlich 2015, aber die JOOMLA updates und Backups hab ich durchaus regelmäßig gemacht. Es läuft also die aktuelle Version 3.9.8. Desweiteren hab ich irgendwann mal die 2 Faktor Authentifizierung eingestellt, was aber die obigen Log-Files leider auch nicht abstellen konnte.


    An Modulen verwendet das Theme K2, Ova Composer und Akeeba Backup, soweit ich das ersehen kann.

    Zitat von j!-n

    Welcher Pfad für die Logs steht in der configuration.php des Joomlas? Korrigiere ihn. Für /tmp auch. Dann einfach einen Verzeichnisschutz für /administrator, dann sollte erstmal Ruhe sein.

    Hi Chris, danke für Deinen Tipp, er läßt mich hoffen. Jetzt suche ich, wie ich das am besten umsetze...


    Gehe ich im Backend unter Konfiguration > System > Protokollverzeichnis, sehe ich dort tatsächlich den "TEST"-ordner. Allerdings kann ich den Pfad davor nicht so recht nachvollziehen oder ist das verschlüsselt? Er heißt: /mnt/web9/c1/88/51314388/htdocs/TEST/log


    Dann war ich unter Konfiguration > Server > Tempverzeichnis, dort ist das hier angegeben: /mnt/web9/c1/88/51314388/htdocs/TEST/tmp


    Im Hauptorder auf meine Webspace gibt es im Hauptverzeichnis bereits einen Ordner "Logs" und einen Ordner "tmp". Was genau soll ich wohl dort eintragen um die Änderungen durchzuführen und wie sperre ich den Admin-Ordner?

    Zitat von jaehns

    Allerdings kann ich den Pfad davor nicht so recht nachvollziehen oder ist das verschlüsselt?

    Nein, das ist einfach nur der komplette Pfad zu deinen Dateien/Verzeichnissen. Die Webseiten liegen da immer unter /htdocs bzw. Unterordnern von /htdocs, falls man mehrere Joomlas installieren möchte.


    Dieser komplette Pfad wird sogar benötigt, wenn du die Pfade zum tmp- und logs-Verzeichnis angeben musst im Backend oder halt direkt in der configuration.php (beides möglich, da die Backend-Konfig.-Einstellungen in der configuration.php gespeichert werden).

    Beispiel:

    /mnt/web9/c1/88/51314388/htdocs/dein-joomla/tmp (tmp-Verzeichnis)

    /mnt/web9/c1/88/51314388/htdocs/dein-joomla/administrator/logs (logs-Verzeichnis)

    In älteren Joomlas lag das logs-Verzeichnis noch hier im Joomla-Root:

    /mnt/web9/c1/88/51314388/htdocs/dein-joomla/logs


    Ansonsten werden diese kompletten Pfade eigentlich nicht benötigt.


    Jetzt kommt es halt darauf an, wo du dein Joomla installiert hast? Kann es sein, dass Joomla im Verzeichnis /TEST installiert ist? Vemutlich nicht, sondern direkt in /htdocs ?


    Bzgl. der Empfehlung einen zusätzlichen Passwortschutz für das Backend zu generieren, müsstest du mal unter "htaccess passwort generator" googeln. Da erstellt man eine .htaccess die ins administrator-Verzeichnis kommt, in der dann auch der Pfad zur .htpasswd steht, die in einem anderen Verzeichnis liegen kann. Dieser Pfad beruht übrigens auch wieder auf dem vollständigen Pfad. In der .htpasswd stehen letztendlich die zusätzlichen Zugangsdaten in verschlüsselter Form. Erst wenn man diese richtig eingibt, kommt man zur Backend-Login-Maske oder halt dorthin, was man schützen möchte. Das kann prinzipiell auch ein anderes Verzeichnis sein, z.B. Download-Ordner.

    Die 2FA köntest du dann wieder deaktivieren.


    Bzgl. Joomla-Aktualisierung gibt es mehrere Möglichkeiten. Wenn diese nicht angezeigt wird, mache zunächst mal folgendes wie hier beschrieben: Joomla Update wird nicht angeboten, bzw falsches Update 3.9.10


    Woraus genau schliesst du auf die vermeintlichen Spam-Attacken?

    Danke, das erspart mir die Erklärungen beer.


    Einen Verzeichnisschutz zu erstellen geht auch mit dem Tool XSSEN, Die entpackte Datei einfach per FTP in /administrator schieben, und im Browser aufrufen.


    https://www.example.com/administrator/xssen.php


    Der Rest ist selbsterklärend. Das Script funktioniert mit PHP 7.x.

    Zitat von JoomlaWunder

    /mnt/web9/c1/88/51314388/htdocs/dein-joomla/tmp (tmp-Verzeichnis)

    /mnt/web9/c1/88/51314388/htdocs/dein-joomla/administrator/logs (logs-Verzeichnis)

    In älteren Joomlas lag das logs-Verzeichnis noch hier im Joomla-Root:

    /mnt/web9/c1/88/51314388/htdocs/dein-joomla/logs

    Wenn du den Root von Strato für deine Joomla-Installation nutzt, entfällt der Pfad /dein-joomla,

    da es keinen Unterordner bei einer Installation bei Strato gibt:


    /mnt/web9/c1/88/51314388/htdocs/tmp


    Nur als Info, falls es so ist.

    Vielen Lieben Dank an Euch alle! Ich hab jetzt mal die Verzeichnisse geändert und warte die nächsten Tage die Berichte ab - da sollte ja jetzt eigentlich gar nix mehr drin stehen...

    Im Prinzip scheint sich nur der Pfad verändert zu haben, aber der Inhalt des Server-Berichts ist gleich geblieben. Was sind das für Vorgänge von denen mir hier berichtet wird?


    Operationen auf Ihrem Webspace:

    Januar 03 11:41:22

    ausfuehrendes Script: /usr/bin/php80

    betroffene Datei: log/error.php

    Vorgang: create


    Januar 03 11:41:22

    ausfuehrendes Script: /usr/bin/php80

    betroffene Datei: log/error.php

    Vorgang: open

    Da wird die error-log-Datei von Joomla! erstellt. Das an sich ist kein bedenklicher Vorgang, da wird ja nur etwas protokolliert, z.B. dass jemand versucht hat, sich mit dem falschen Passwort einzuloggen, oder dass irgendeine Erweiterung Fehler produziert. Schau doch mal in die Datei rein, was da drin steht.

    Zitat von Harmageddon

    Da wird die error-log-Datei von Joomla! erstellt. Das an sich ist kein bedenklicher Vorgang, da wird ja nur etwas protokolliert, z.B. dass jemand versucht hat, sich mit dem falschen Passwort einzuloggen, oder dass irgendeine Erweiterung Fehler produziert. Schau doch mal in die Datei rein, was da drin steht.

    Es scheint offensichtlich jemand Unbefugtes zu versuchen, sich einzuloggen. Kann ich das unter "normal und unbedenklich" laufen lassen?


    #<?php die('Forbidden.'); ?>

    #Date: 2014-07-09 13:53:13 UTC

    #Software: Joomla Platform 13.1.0 Stable [ Curiosity ] 24-Apr-2013 00:00 GMT


    #Fields: datetime priority category message

    2014-07-09T13:53:13+00:00 INFO joomlafailure Username and password do not match or you do not have an account yet.

    2014-07-09T13:53:32+00:00 INFO joomlafailure Username and password do not match or you do not have an account yet.

    2014-07-09T13:54:27+00:00 INFO joomlafailure Username and password do not match or you do not have an account yet.

    2021-01-01T05:07:40+00:00 INFO 41.215.92.170 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-01T09:14:31+00:00 INFO 212.164.64.149 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-01T18:34:38+00:00 INFO 203.99.131.254 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-01T23:21:03+00:00 INFO 87.237.235.192 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-02T11:15:37+00:00 INFO 41.60.238.204 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-03T04:11:31+00:00 INFO 113.163.9.62 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-03T11:41:22+00:00 INFO 92.37.233.254 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-04T07:12:13+00:00 INFO 182.70.249.83 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-04T09:08:47+00:00 INFO 183.83.212.122 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-04T17:23:55+00:00 INFO 195.235.212.228 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    2021-01-04T20:55:03+00:00 INFO 27.123.253.253 joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

    Ich habe gerade mal bei mir geschaut. Da sind auch 6 solche Einträge vorhanden. Die habe ich aber alle selber ausgelöst durch zu schnelles und dadurch falsches eingeben. ;)


    Es wundert mich aber etwas, das du noch Einträge aus 2014 drin stehen hast und oben auch der 09.07.2014 angegeben ist.

    Ich würde das alles als unbedenklich einstufen.

    Hi Chris, hab gerade den Inhalt des ZIP Files in meinen Administrator Ordner hochgeladen. Allerdings kann ich keinen Unterschied sehen. Meine Seite läuft jedoch anstandslos, was sie auch soll.

    Zitat von jaehns

    Hi Chris, hab gerade den Inhalt des ZIP Files in meinen Administrator Ordner hochgeladen. Allerdings kann ich keinen Unterschied sehen. Meine Seite läuft jedoch anstandslos, was sie auch soll.

    Ich bin zar nicht Chris, aber:

    Das klingt so, als hättest du sie gar nicht ausgeführt. Du müsstest sie schon im Browser aufrufen (siehe #8)! Und natürlich wird die Seite hinterher auch normal weiterlaufen (mit entsprechendem Passwortschutz).

    Allerdings habe ich diese php-Datei selber noch nie benutzt. Ich hoffe das stimmt so, was ich geschrieben habe.