Täglich Meldung von Schreibzugriffen

    Hallo zusammen,

    seit mehreren Wochen erhalte ich täglich 2 Meldungen von Strato-Siteguard, dass es Schreibzugriffe auf meinem Joomla-Webspace gab. (Version 3.10.3)

    Zuerst habe ich alle Passwörter geändert, HT-Access-Schutz ist eingerichtet, aber es ändert nichts. Zusätzlich habe ich jetzt den Schreibschutz auf Strato eingerichtet und eine automatische IP-Sperre bei Angriffen über Admin-Tools. Da kommt dann auch so jeden 3. Tag die Meldung, dass wieder eine IP gesperrt wurde.

    Was ich nicht verstehe, da bin ich zu sehr Laie:

    Als ausführendes script in der einen Meldung wird stets

    /usr/bin/php74angezeigt und als betroffene Dateien verschiedene Dateien in einem Verzeichnis

    /wt

    und diversen Unterverzeichnisses dieses /wt-Verzeichnisses.

    Ich habe jetzt das gesamte Webspace durchsucht und finde weder ein Verzeichnis /wt noch ein Verzeichnis /usr/bin/ noch die Datei php74.


    Die 2. Mail, die täglich von Strato kommt enthält jeweils hunderte Einträge in dieser Art:

    Ausfuehrendes Script: ~/Joomla3/index.php


    Betroffene Datei: Joomla3/cache/_system/24582d67e8c09c54b40b76fdc68519d6-cache-_system-4926e801c212cff6f6226bfa

    Vorgang: deny[unlink]

    Das "deny" kommt natürlich erst, seit ich den Schreibschutz bei Strato eingeschaltet habe.

    Es wäre wirklich nett, wenn mir das jemand grob erklären könnte.

    Ich vermute ja zumindest bei den letzten Einträgen, dass es Joomla-eigene Aktionen im cache sind, hatte das früher aber nicht. Und die obigen Einträge mit PHP74 kann ich mir überhaupt nicht erklären.


    Gruß Matthias

    Ich kann da jetzt eigentlich nichts erkennen, was nicht normal sein sollte. Die genannten Verzeichnisse wird es sicherlich geben. Völlig normal.

    Und natürlich werden Dateien ins Cache-Verzeichnis geschrieben.

    Vielleicht liegt es nur an den Einstellungen bei diesem Siteguard, dass täglich 2 Meldungen kommen. Keine Ahnung!

    Vielleicht kann dir der Hoster da mehr sagen!


    Irgendwie würde ich sagen, dass die Webseite bzgl. Sicherheit schon überoptimiert ist.

    Ich habe mir das komplette Webverzeichnis per Ftp übertragen und durchsucht. Da gibt es kein Verzeichnis usr/bin. Heute Morgen hatte ich wieder 2 Mails mit geblockten IPs.

    We would like to notify you that the IP address 69.160.160.58 is now blocked from accessing your site.

    Da oft ähnliche Adressen kommen gehe ich davon aus, dass die Angreifer über ein VPN kommen und dann einfach eine andere Verbindung nehmen, wenn sie geblockt sind.

    Hallo JoomlaWunder,

    ich verstehe eine Anmerkung leider nicht. Übergeordnete Verzeichnisse über meinem Joomla-Verzeichnis sind nicht vorhanden bzw. für mich nicht sichtbar. Meinst du, dass es Verzeichnisebenen beim Hoster Strato sind, die ich nicht sehe?


    Gruß Matthias

    Zitat von clamat

    Meinst du, dass es Verzeichnisebenen beim Hoster Strato sind, die ich nicht sehe?

    Ja! Und es kann sein, dass du diese nichts siehst.


    Die oben genannte IP kommt von einem Crawler in den USA. Google diese einfach mal!


    Und wie gesagt, frage am besten deinen Hoster, warum diese Meldungen nun auf einmal kommen!