Benutzer überschrieben?

    Hallo,

    kurze Frage, ich hatte eben bei einer älteren Joomla-Seite (Joomla aktuelle Version 3.10.5) das Problem, dass mein Login nicht mehr funktioniert hat. Hab dann in der Datenbank gesehen, dass mein Benutzername und Passwort offenbar überschrieben wurden (Benutzername war irgendwas mit AnonymXY...) - habe diese wieder mit meinem Benutzer und Passwort überschrieben und konnte mich einloggen.

    Nach meiner Kontrolle gibt es aber keine Veränderungen an der Seite. Noch dazu ist die RS Firewall installiert, die hier auch nur die üblichen Zugangsversuche protokolliert hat, soweit ich sehe. Also Verzeichnisrechte sind in Ordnung (configuration.php 444 usw.), Joomla + Erweiterungen soweit am letzten Stand.

    Hatte sowas schon mal jemand? Ich kann mich nicht erinnern, dass sowas bei einer anderen Seite in den letzten Jahren schon mal passiert wäre. Ich kenne nur früher die russischen User, die manchmal angelegt waren, wenn die Benutzerregistrierung eingeschalten war.

    Gut möglich und sogar wahrscheinlich, dass dort irgendwo eine Sicherheitslücke besteht. Zuerst würde ich das BE mit einem Verzeichnisschutz versehen (htaccess), und die Installation auf Schadcode prüfen. Wenn du nicht weisst, wie, und auch kein Budget für professionelle Unterstützung hast, die Seite neu bauen.

    Es geht dabei um eine Kundenseite, ich könnte diese auch jederzeit neu bauen oder ein Backup einspielen. Aber die Seite funktioniert ordnungsgemäß, die Verzeichnisrechte sind alle in Ordnung und die RS Firewall meldet keine schadhaften oder verdächtigen Dateien. Daher sehe ich eigentlich keinen weiteren Handlungsbedarf, außer, die Benutzerpasswörter zu ändern. Ich frag mich nur, wie jemand meinen Benutzer überschreiben konnte. Die Seite wird seit Jahren regelmäßig gewartet usw.

    Zitat von zero

    ...ich hatte eben bei einer älteren Joomla-Seite (Joomla aktuelle Version 3.10.5) das Problem, dass mein Login nicht mehr funktioniert hat. Hab dann in der Datenbank gesehen, dass mein Benutzername und Passwort offenbar überschrieben wurden (Benutzername war irgendwas mit AnonymXY...)

    Welche Version hat denn deine ältere Seite?

    Joomla 3.10.5 wäre doch aktuell.


    Wenn ein SuperUser "überschrieben" wird, solltest du die Sache wirklich ernst nehmen. Das darf nicht vorkommen. Und wenn das bei dir schon mal auf einer anderen Seite geschehen ist: War es der gleiche Webspace?
    Oder ist ein anderer User betroffen, also nicht der SuperUser?
    Gibt es weitere SuperUser?
    Überprüfe deine Sicherheitseinstellungen!

    Und hat noch jemand Zugriff auf die Datenbank oder per FTP?

    Und verwendest du für deine Webseiten auch unterschiedliche Zugangsdaten?

    Und existiert ein zusätzlicher Backend-Schutz, z.B. zusätzlicher Schutz über .htaccess.

    Die Joomla Version ist aktuell, allerdings ist die Seite selber schon einige Jahre alt.

    Sowas ist noch nie vorgekommen, falls ich das irgendwie missverständlich formuliert habe.

    Die Seite liegt auch einem eigenen Webspace, wo sonst nichts drauf ist.

    Es gibt insgesamt drei Superuser, einmal für mich und zwei für Mitarbeiter der Firma, der die Webseite gehört.

    Datenbank und FTP-Zugriff sollte eigentlich nur ich haben, theoretisch auch der Kunde, glaube aber nicht, dass die da jemals eingeloggt waren.

    Ich verwende öfter die selben Zugangsdaten für mich, da ich sonst jedes Mal nachsehen müsste und bisher ist auch nie etwas passiert.

    Zusätzlicher Backend-Schutz existiert nicht, nur die RS Firewall ist installiert, die würde mir melden, wenn irgendwelche Rechte etc. nicht passen würden.

    Du verlässt dich nebenbei viel zu sehr auf diese Firewall. Nicht umsonst bezeichnen viele solchen Kram auch als "Schlangenöl".

    Zitat von zero

    theoretisch auch der Kunde, glaube aber nicht, dass die da jemals eingeloggt waren.

    Es reicht, ja, wenn solche Daten auf deren oder deinem Rechner(n) und ungeschützt rumliegen. Keiner weiß, wo die Kunden sich in Ihrer Freizeit so rumtreiben.

    Zitat von zero

    Sowas ist noch nie vorgekommen, falls ich das irgendwie missverständlich formuliert habe.

    Ok! Ich hatte da das Wörtchen "nicht" überlesen.


    Du solltest auf jeden Fall diesen zusätzlichen Passwortschutz für das Backend einrichten. Das ist ein sehr wichtiger Grundschutz.

    Ich würde auch mind. die Zugangsdaten aller SuperUser sowie FTP- und DB-Passwort mal ändern. Das kann man ja immer mit der Notwendigkeit einer Sicherheitsvorkehrung begründen.

    Das Analysieren der ganzen Log-Files wäre eine Möglichkeit, der Ursache auf den Grund zu gehen. Dazu wäre es gut, wenn man den ungefähren Zeitpunkt des Überschreibens kennen würde. Das sind nur so ein paar Ideen dazu.