Monitoring/Logging untertags - daily logs

    Liebe Community,


    ich bin neu hier, nutze Joomla noch nicht lange und beschäftige mich gerade intensiv damit, unerwünschte Transaktionen von meiner Website fernzuhalten bzw. diese zu kontrollieren.

    Ich prüfe täglich meine /logfiles/daily-xxx Logfiles. Diese werden ja jeweils kurz nach Mitternacht bereitgestellt für den Vortag. Nun wüsste ich aber gerne zeitnah, ob meine Maßnahmen (z.B. Update der robots.txt) greifen.


    Daher meine Frage: gibt es diese Informationen auch tagsüber? Ich kenne in der Konsole die "Benutzeraktivitäten", aber das reicht mir nicht.

    Ich würde gerne die Zugriffe durch Crawler, Versuche Kontakte zu ermitteln, Versuche die Admin-Konsole aufzurufen, Referrer Spam usw. sehen - also im Prinzip das, was in den daily logs steht.


    Gibt es so etwas?


    Infos zu meiner Installation:

    Joomla 3.9.26

    PHP 7.4.16

    mysql 5.7.33


    VG, Rena

    Zitat von rena77

    beschäftige mich gerade intensiv damit, unerwünschte Transaktionen von meiner Website fernzuhalten

    Zum Logging habe ich i.M. keine Lösung aber um die Webseite gegen unbefugten Zugriff abzusichern,

    solltest du deine Joomlainstallation sowie alle Extensions und auch Template/Framework immer aktuell halten.


    Dazu regelmäßige Backups anfertigen.


    Dein Backend solltest du auf jeden Fall mit einem Verzeichnisschutz versehen:


    Joomal Sicherheit

    Zitat von rena77

    Nun wüsste ich aber gerne zeitnah, ob meine Maßnahmen (z.B. Update der robots.txt) greifen.

    Die robots.txt stellt lediglich eine Empfehlung deinerseits für die Such-Bots dar, mehr nicht. Die seriösen Bots beachten diese und den anderen ist der Inhalt egal.

    Eine Analyse der logs in bestimmten regelmäßigen Abständen ist meiner Meinung nach völlig ausreichend.

    Eingreifen würde ich da auch nur, wenn es wirklich sehr viele nervige Bots bzw. Zugriffe wären, die sich auf die Performance auswirken. Das ist meist nicht der Fall. Und Hintergrundrauschen ist völlig normal.


    Bei größeren Problemen könntest du beispielsweise über die .htaccess bestimmte user-agents sperren. Die Blockade kannst du dann sofort über die Funktionen testen, die ein Webbrowser so bietet. Da braucht man nicht warten, bis der Bot wieder vorbeikommt.


    Zitat von rena77

    gibt es diese Informationen auch tagsüber? Ich kenne in der Konsole die "Benutzeraktivitäten", aber das reicht mir nicht.

    Kannst du nicht das aktuelle Server-Log-File anschauen (zeitnah)?

    Die vom Vortag liegen bei mir in einem Verzeichnis namens "old". Das ist aber wohl von Hoster zu Hoster unterschiedlich.

    Alleine das täglich variierende Grundrauschen im Internet, das du auf jeder öffentlichen Webseite hast, macht deinen Versuch, da irgendwas zu erreichen, nahezu aussichtslos. Letztlich bremst du auf Dauer nur deine Seite mehr und mehr aus, wenn du Zeugs hinterherrennst, das überhaupt keinen Schaden anrichtet, weil es sowieso erfolglose Versuche waren.


    Jeden Tag kommen neue Versuche dazu, die halt mal nur ausprobieren, was geht. Sich darüber auch noch zeitnah informieren zu lassen, ist nur Zeitverschwendung und Paranoia-Pflege.


    Nur nebenbei: Eine robots.txt muss von einem Crawler nicht beachtet werden. Sie darf beachtet werden.


    Crawler und Bots, die du heute ausschließt, via htaccess z.B., gibt es morgen nicht mehr, weil sie längst durch neue ersetzt wurden. Die unseriösen Betreiber sind ja nicht ganz doof. Am Ende hast du 1000e Zeilen, die irgendwas zu verhindern suchen, was man in Summe nicht verhindern kann. Eben Zugriffe, die komplett harmlos sind und einen nur nerven, weil man sie in seiner AccessLog sieht. Oder man sperrt sogar harmlose Besucher aus, die heute halt die IP bekommen haben, die gestern noch ANGEBLICH zu einem dämlichen Bot gehörte.


    Wollt ich nur mal so gesagt haben ;) Sisyphos lässt grüßen.

    Zitat von Re:Later

    Alleine das täglich variierende Grundrauschen im Internet, das du auf jeder öffentlichen Webseite hast, macht deinen Versuch, da irgendwas zu erreichen, nahezu aussichtslos. Letztlich bremst du auf Dauer nur deine Seite mehr und mehr aus, wenn du Zeugs hinterherrennst, das überhaupt keinen Schaden anrichtet, weil es sowieso erfolglose Versuche waren.

    Verstehe. Diesen ganzen Mist als Grundrauschen zu akzeptieren fällt mir noch schwer, aber ich arbeite dran ;-).


    Zitat von JoomlaWunder

    Die robots.txt stellt lediglich eine Empfehlung deinerseits für die Such-Bots dar, mehr nicht. Die seriösen Bots beachten diese und den anderen ist der Inhalt egal.

    Ah, nicht schön aber gut zu wissen.


    Zitat von JoomlaWunder

    Kannst du nicht das aktuelle Server-Log-File anschauen (zeitnah)?

    Die vom Vortag liegen bei mir in einem Verzeichnis namens "old". Das ist aber wohl von Hoster zu Hoster unterschiedlich.

    Bei meinem Hoster (Goneo) gibt es dann wohl nur eins pro Tag, im /logfiles Ordner.


    Ja, das mache ich regelmäßig bzw. ist schon erledigt.



    Danke euch allen ganz herzlich für eure Hilfe  :)

    Zitat von rena77

    Diesen ganzen Mist als Grundrauschen zu akzeptieren

    Du wirst feststellen, dass viele der "Angriffe" gar nicht auf Joomla abzielen, sondern z.B. auch auf WordPress und andere. Viele aber auch ganz allgemeiner Art, wie der Versuch irgendwelches SQL auszuführen, um Datenbanken abzufragen. Etc. pp.


    Die werden wahllos ausgesendet. "Mal versuchen".


    Und die Crawler-Problematik habe ich ja oben beschrieben. Wir haben mal für ein halbes Jahr täglich die Access-Logs gesichtet, wegen Crawlern, die die gesamte Seite an einem Stück durchknatterte, was den Server natürlich kurzfristig in die Knie zwingen kann. Die Seite ist relativ groß. Ohne, dass nachvollziehbar gewesen wäre, warum die das eigentlich machen. Alle radikalen Ausschlüsse waren nach 2 Monaten wieder hinfällig, weil solche Leute halt die Server, IPs und Domainkennungen ändern. Man kann zwar ganze Provider-IP-Blöcke ausschließen und ähnliches, aber das trifft halt viele Unschuldige, die die Seite dann auch nicht mehr sehen können.


    Deshalb: "Grundrauschen" (der Begriff stammt nicht von mir, sondern ist weiläufig gebräuchlich "in der Szene").

    Zitat von Re:Later

    Deshalb: "Grundrauschen"

    Mein Webauftritt ist völlig unbedeutend und hat entsprechend wenige Besucher. Umso geschockter war ich, als ich all diese Angriffsversuche und dubiosen Verweise in den Logs festgestellt habe - die Logs bestanden praktisch nur aus diesem Zeug. Für einen Anfänger ist das echt beunruhigend!!

    Ich habe zunächst vermutet, dass die Website gehackt wurde - das ist aber dank meiner Basic-Security Massnahmen nicht der Fall.


    Ich habe das "Grundrauschen" akzeptiert und finde es gerade spannend zu lernen, was es da alles gibt. Inzwischen habe ich Spaß daran, z.B. einzelne IP Adressen auszuschließen und zu sehen, dass dann ein "http 403" in den Logs auftaucht rofl


    Daher: vielen Dank, dass ich von euch lernen darf :)

    Für Lernwillige gibt es diesbezüglich übrigens auch viele interresante Videos z.B.:


    https://www.joomla.de/wissen/j…1x1-der-joomla-sicherheit


    und noch sehr viel mehr Videos dort:


    https://www.joomla.de/wissen/joomla-event-videos


    sowie auch viele nützliche Infos in den "Tips und Tricks" :


    https://www.joomla.de/wissen/joomla-tipps-im-advent?start=43

    Zitat von rena77

    Mein Webauftritt ist völlig unbedeutend und hat entsprechend wenige Besucher. Umso geschockter war ich, als ich all diese Angriffsversuche und dubiosen Verweise in den Logs festgestellt habe

    Es kommt nicht auf die Qualität der Seite an. Hackerrn geht es um den Wabspace um illegales Material zu hinterlegen oder Spam zu verschicken.

    Und dafür ist #2 schon ein effektiver Schutz für das Backend.


    Weiteres gilt für die Benutzerregistrierung und Formulare auf deiner Seite.


    Aber das hast du ja schon alles abgesichert. :)

    Zitat von Elwood

    Weiteres gilt für die Benutzerregistrierung und Formulare auf deiner Seite.

    Denke schon, dass ich das alles rauskonfiguriert habe. Benutzerregistrierung habe ich von vornherein nicht erlaubt und hatte auch noch nie Probleme damit, Kontaktformular habe ich nach Spam-Eingang entfernt.


    Gerade noch im Log entdeckt dass "Link per Mail an einen Freund senden" also "index.php/component/mailto/?link=............." aufrufbar war (es war kein Emailversand möglich, also nix passiert). Aber auch dazu bin ich hier im Forum fündig geworden - jetzt ist diese Lücke auch gestopft ;-).


    Zitat von Sieger66

    Für Lernwillige gibt es diesbezüglich übrigens auch viele interresante Videos z.B.:

    So, den Rest des Abends schau ich Videos :saint: