Hallo zusammen,
seit mehreren Wochen erhalte ich täglich 2 Meldungen von Strato-Siteguard, dass es Schreibzugriffe auf meinem Joomla-Webspace gab. (Version 3.10.3)
Zuerst habe ich alle Passwörter geändert, HT-Access-Schutz ist eingerichtet, aber es ändert nichts. Zusätzlich habe ich jetzt den Schreibschutz auf Strato eingerichtet und eine automatische IP-Sperre bei Angriffen über Admin-Tools. Da kommt dann auch so jeden 3. Tag die Meldung, dass wieder eine IP gesperrt wurde.
Was ich nicht verstehe, da bin ich zu sehr Laie:
Als ausführendes script in der einen Meldung wird stets
/usr/bin/php74angezeigt und als betroffene Dateien verschiedene Dateien in einem Verzeichnis
/wt
und diversen Unterverzeichnisses dieses /wt-Verzeichnisses.
Ich habe jetzt das gesamte Webspace durchsucht und finde weder ein Verzeichnis /wt noch ein Verzeichnis /usr/bin/ noch die Datei php74.
Die 2. Mail, die täglich von Strato kommt enthält jeweils hunderte Einträge in dieser Art:
Ausfuehrendes Script: ~/Joomla3/index.php
Betroffene Datei: Joomla3/cache/_system/24582d67e8c09c54b40b76fdc68519d6-cache-_system-4926e801c212cff6f6226bfa
Vorgang: deny[unlink]
Das "deny" kommt natürlich erst, seit ich den Schreibschutz bei Strato eingeschaltet habe.
Es wäre wirklich nett, wenn mir das jemand grob erklären könnte.
Ich vermute ja zumindest bei den letzten Einträgen, dass es Joomla-eigene Aktionen im cache sind, hatte das früher aber nicht. Und die obigen Einträge mit PHP74 kann ich mir überhaupt nicht erklären.
Gruß Matthias