Admin Username und Passwort gehackt?

  • Hallo, heute ist mir etwas sehr seltsames aufgefallen. Ich wollte mehrere (24) Joomla-Installationen aktualisieren (alle von 3.9.23 auf 3.9.24). Bei ca. 12 von 24 kam ich mit meinem Super-Admin Passwort und Username nicht mehr in das Backend von Joomla.


    Ein Blick in die Datenbank zeigte, dass Username auf den Standard "admin" umgestellt wurden! Passwort kann ich nicht einsehen.

    • Alles Webseiten liegen auf dem gleichen vServer.
    • Ich sehe den Zeitpunkt des letzten Login als „admin“
    • In den Logfiles, sehe ich, dass eine IP sich unter administrator einegeloggt hat.
    • Es wurde auf den ersten Blick nichts verändert.
    • Wie kann das passieren? Über welchen Weg wurde hier Zugriff erlangt?

    Ich hoffe ihr habt eine Idee.

    Markus

  • Ein Blick in die Datenbank zeigte, dass Username auf den Standard "admin" umgestellt wurden! Passwort kann ich nicht einsehen.

    Du könntest dich aber mal mit "admin" und dem bisherigen Passwort einloggen! Funktioniert das auch nicht? Wurde also auch das Passwort verändert? (reine Neugier)

    Grundsätzlich:

    Verwendest du einen zusätzlichen Passwortschutz für das Backend?

    Waren und sind alle Drittanbieter-Erweiterungen aktuell?


    Hat jemand Zugriff auf deine Datenbank? Wurde an der DB gearbeitet oder eventuell die configuration.php-Dateien zwischen den verschiedenen Installation verschoben (warum auch immer), so dass eine falsche/andere Datenbank die Ursache sein könnte. Ansonsten kann ich mir das auch nur em ehesten mit einem Hack erklären.

    Solch einen Fall hatte ich noch nie.

  • Wie schaut deine Hostingumgebung aus? Hoster, Tarif, Control Panel...?

    Ein virtueller Server mit aktuellstem Plesk. Jeweils unterschiedliche Benutzer - also alles getrennt. Passwört sind "ordentlich" also zufällig generierte 20-40 Zeichen.


    Auf den ersten Blick wurde nur der Superuser geändert und nichts weiter eingespielt oder verändert.

    Du könntest dich aber mal mit "admin" und dem bisherigen Passwort einloggen! Funktioniert das auch nicht? Wurde also auch das Passwort verändert? (reine Neugier)

    Interessanter Einwand aber leider nein. Passwörter wurde auch geändert.

    Solch einen Fall hatte ich noch nie.

    Ich auch nicht.!


    Verwendest du einen zusätzlichen Passwortschutz für das Backend?

    Waren und sind alle Drittanbieter-Erweiterungen aktuell?

    Nein und ja.


    Wie finde ich heraus, ob und wann ein FTP Zugriff erfolgte? Und ob an der configuration.php gearbeitet wurde (also gespeichert nicht, da Datum zum Rest passt)

    Wie finde ich heraus, ob und wann ein Datenbankzugriff erfolgte?


    In den Logfiles taucht immer eine Passage auf in der Zugriff auf /administration erlangt wurde. Passt zeitlich mit dem letzten Login, den ich in der DB sehe.

  • https://support.plesk.com/hc/e…e-operations-by-customer-


    Von (nicht-gemanageten) vServern ist generell abzuraten, wenn man kein Profi in dem Bereich ist.

    Managed Plesk Server gibt's z.B. bei netclusive oder pixelx.de wäre auch so ein Angebot.

    Da kann man in solchen Fällen mit kompetenter Hilfe rechnen.



    Bei getrennten Systemusern und getrennten Datenbanken ist mir schleierhaft, wie das passieren konnte.


    Die Access Logs des entsprechenden Zeitraums kannst du gern hier mal durchjagen:
    https://website-bereinigung.de/log-analyse




    Du solltest, falls noch nicht geschehen, alle Zugangsdaten ändern (insbes. Datenbank) und alle Admin Bereiche mit einem .htaccess Passwortschutz versehen.

  • Hallo erneut. Ich habe nun die letzten Tage damit verbracht, irgendwie nachzuvollziehen was da auf dem Server geschieht. Habe sämtlich Zugangsdaten geändert, jeweils ein Backup eingespielt und Log-Files durchgearbeitet. Es scheint eher weniger mit Joomla zu tun zu haben. Ich habe allerdings immernoch nicht wirklich verstanden wie jemand die Administratoren in der Datenbank ändern konnte.

    Von (nicht-gemanageten) vServern ist generell abzuraten, wenn man kein Profi in dem Bereich ist.

    Managed Plesk Server gibt's z.B. bei netclusive oder pixelx.de wäre auch so ein Angebot.

    DAS wäre aktuell die Konsequenz ;-)


    Dennoch danke erstmal.

  • Moin


    Bitte nicht den lokalen Computer als Schwachstelle vergessen. Oft sind es Trojaner die gültige Zugangsdaten ausspähen und weiterleiten. Liegen diese in einer Cloud, kommen potenziell auch mobile Endgeräte in Frage die darauf zugreifen können. Daher ist meiner Erfahrung nach ein genauer Test aller Computer / Geräte auf möglichen Schadsoftware Pflicht.


    Nachtrag: Die IP die (erfolgreich) auf Dein Backend zugegriffen hat kannst Du z.B. bei der Ripe prüfen lassen. https://apps.db.ripe.net/db-web-ui/query


    Gruß Jan