Anmeldung Backend - Passwort ungültig

    Hallo zusammen,


    jetzt war ich mal 6 Wochen nicht im Backend und jetzt dieses. Ich kann mich nicht anmelden.


    Nachgeschaut in der Datenbank. Dort steht als Superuser jetzt "anonymous fox".


    Natürlich habe ich jetzt alles geändert.


    Wo, bzw. welche Log-Dateien kann ich jetzt prüfen wann und wie die Änderung stattgefunden hat?


    Grüße

    Manfred

    Eventuell nützlich:


    Thema
    Mein Joomla wurde gehackt! Was kann ich tun?
    Deutsche Anlaufstelle, wenn die Seite gehackt wurde - und für noch wesentlich mehr Informationen rund um Joomla!-Sicherheit:
    http://www.joomla-security.de/joomla-gehackt-was-tun.html

    Weitere Hilfeseite:
    https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php
    Indigo66


    Thema
    Gehackte Webseiten - Erkennen, Bewerten, Bereinigen
    Hallo Freunde!

    Das Thema interessiert mich seit kurzem.
    Nein, ich bin nicht gehackt worden, meine Seiten sind alle sauber und auch meine Kundenseiten.

    Ich kenne die Links zu den 'Bereinigern' . Abarbeiten der Liste etc. Aber ich möchte gerne mehr Hintergrundwissen erlangen. Deshalb die Frage nach Tutorials, Videos, Dokumentation etc, nach der Vorgehensweise bei gehackten Webseiten. Wie vergleiche ich die gehackte Webseite mit einer frischen Joomla-Installation? Was ist, wenn (kostenpflichtige)…
    Elwood

    Alles gut. Ich habe immer die letzten 100 Sicherungen.


    Was mich etwas wundert, es sind nur die Daten des Superusers geändert worden. Mehr nicht. Ich habe einen Ordner- und Dateinenvergleich gemacht.

    Nichts - keine besonderen Vorkommnisse.


    Alle vier Seiten sind auf dem aktuellen Stand.


    Der Zugriff muß nach dem 20.07.2021 passiert sein.


    Alles sehr komisch.


    Grüße

    Manfred

    Zitat von Beowolf

    Was mich etwas wundert, es sind nur die Daten des Superusers geändert worden. Mehr nicht. I

    Mehr nicht..... das ist gut! (natürlich ironisch gemeint)


    Gibt es weitere SuperUser, die etwas verändert haben könnten? (daran dürfte es aber nicht liegen)

    Hat jemand Zugriff auf die Datenbank?

    Liegen da eventuell Skripte im Joomla-Root, die du mal benutzt hast, um z.B. den Zugang zum Backend wieder herzustellen (z.B. weil ein Passwort vergessen wurde) und welche nun immer noch dort liegen und nicht gelöscht wurden.

    Ist wirklich alles aktuell? Manchmal werden tatsächlich nicht die neuesten Versionen angezeigt, wenn die Erweiterungen oder Joomla zu alt sind, oder es mal einen Bug gab.

    Ist das Backend mit zusätzlichem Passwortschutz abgesichert?


    Kannst natürlich alle Protokolle mal durchschauen, nach ungewöhnlichen Logins, FTP-Verbindungen und Webserver-Zugriffen.

    Mehr nicht..... das ist gut! (natürlich ironisch gemeint)


    Gibt es weitere SuperUser, die etwas verändert haben könnten?


    Nein


    Hat jemand Zugriff auf die Datenbank?


    Nein


    Liegen da eventuell Skripte im Joomla-Root, die du mal benutzt hast, um z.B. den Zugang zum Backend wieder herzustellen (z.B. weil ein Passwort vergessen wurde) und welche nun immer noch dort liegen und nicht gelöscht wurden.


    Nein


    Ist wirklich alles aktuell? Manchmal werden tatsächlich nicht die neuesten Versionen angezeigt, wenn die Erweiterungen oder Joomla zu alt sind, oder es mal einen Bug gab.


    Ja


    Ist das Backend mit zusätzlichem Passwortschutz abgesichert?


    Wie meinst Du das?

    Zitat von Beowolf

    Ist das Backend mit zusätzlichem Passwortschutz abgesichert?


    Wie meinst Du das?

    Wenn du die Backend-Login-Maske aufrufst, wird diese sofort angezeigt oder erscheint ein vorheriges Abfrage-Fenster, in welches du erst deine zusätzlichen Zugangsdaten eintragen musst?

    (serverseitige Abfrage, bevor auf die Datenbank / Joomla zugegriffen wird)

    Dieser Schutz hat einen sehr hohen Wirkungsgrad gegenüber Hackangriffen und sollte als Grundschutz genutzt werden.

    Nein.


    Er meint die vorherige Abfrage nach BN und PW.

    Also den Backend-Passwortschutz ( /administrator) mit einer .htaccess


    Siehe hier:


    https://www.fc-hosting.de/joomla/joomla-sicherheit.php



    Weiß nicht, ob noch hilfreich:


    FC-PassReset


    Falls es doch gehackt sein sollte:


    https://www.fc-hosting.de/supp…ehackte-website-hilfe.php

    Zitat von Beowolf

    Was mich etwas wundert, es sind nur die Daten des Superusers geändert worden.

    Ob und wann der neue Superuser z.B. über das Joomla-Backend erstellt und der bisherige dort auch gelöscht worden ist kannst du eventuell auch im Joomla-Backend in der Komponenete Benutzeraktivitäten sehen per

    example.com/administrator/index.php?option=com_actionlogs

    sofern diese Erweiterung nicht deaktiviert ist und auch sowohl die Ereignisprotokollierung der Benutzer als auch das Protokoll nicht völlständig oder teilweise gelöscht worden sind.


    Backdoors können ja schon sehr lange vorhanden sein und nun erst seit kurzem für dich sichtbar ausgenutzt werden!


    Auch z.B. ein Virus(Keylogger) auf einem deiner Computer mit denen du dich in Joomla anmeldest mußt du prüfen und sicher ausschließen usw.


    Wie du anhand meiner obigen Linkziele von #2 erkennen kannst sind diesbezüglich umfangreiche Arbeiten zu erledigen!