Update 4.3.1 Fehlermeldung

    Joomla Version
    4.3.0
    PHP Version
    PHP 8.0.x
    Hoster
    Hosteurope
    Link (URL) zur Seite mit dem Problem
    https://weingut-lothar-schwoerer.de

    Hallo,


    ich habe leider etwas Probleme bei der Installation von 4.3.1-Update.


    Zur Vorgeschichte: Ich hatte vor ca. 3 Wochen das Joomla-Update 4.3.0 im Backend installiert und 1 Tag später wurde die Seite vom Hoster "Hosteurope" gesperrt, da verdächtige Aktivitäten und Login als Administrator war nicht mehr möglich, da .htaccess-datei im Admin-Verzeichnis.... Via FTP konnte ich dann auch mehrere php-dateien ausfindig machen, welche nicht original waren. Die Seite wurde dann problemlos aus der datensicherung hergestellt und es lief alles wieder normal und die verdächtigen Dateien waren auch nicht mehr erschienen.


    Nun heute wollte ich das Update 4.3.1 installieren und es erschein mir beim Start des Updates folgende Meldung:

    Zugriff verboten

    Joomla-Update kann nicht mit der Datei administrator/components/com_joomlaupdate/extract.php kommunizieren, welche die Aktualisierung durchführt. Dies geschieht in der Regel aus einem der folgenden Gründe:

    • Eine Serverkonfigurationsdatei im Stammverzeichnis der Website, wie z. B. .htaccess oder web.config, verhindert den Zugriff auf diese Datei.
    • Die Serverkonfiguration verhindert den Zugriff auf diese Datei.
    • Die Eigentümerschaft und die Berechtigungen dieser Datei erlauben dem Server keinen den Zugriff auf diese Datei.
    • Die Website befindet sich hinter einem Load Balancer oder CDN, aber dessen Konfiguration lässt den Zugriff auf diese Datei nicht zu oder blockiert das Senden von Befehlen an sie.
    • Auch wenn auf die Datei zugegriffen werden kann, wird das Senden von Befehlen an sie durch den Schutz des Servers, bspw. durch mod_security2, blockiert.

    Bei Fragen oder Unsicherheit, bitte an den Webhoster wenden.


    Der Update Fortsetzen-Button bewirkt nichts.


    Die Anleitung in der Fehlermeldung hilft nicht weiter. Alle beschriebenen Dateien wurde geprüft, aber ich konnte nichts finden. Upload von ZIP-Datei bringt auch nichts, da die extract.php wohl nicht ausgeführt werden kann.


    In der Log-datei ist das hier:

    2023-05-04T10:40:21+00:00 INFO 95.208.93.164 update Update wurde vom Nutzer Super User (14) gestartet. Die frühere Version war 4.3.0.

    2023-05-04T10:40:22+00:00 INFO 95.208.93.164 update Datei Joomla_4.3.1-Stable-Update_Package.zip erfolgreich heruntergeladen.

    2023-05-04T10:40:23+00:00 INFO 95.208.93.164 update Neue Version wird jetzt installiert.


    Im Server-Log finde ich das hier:

    Code
    13:33:24 2023] [access_compat:error] [pid 2629] [client 95.208.93.164] [host www.weingut-lothar-schwoerer.de] AH01797: client denied by server configuration: /is/htdocs/wpXXXXMV/www/weingut-lothar-schwoerer.de/administrator/components/com_joomlaupdate/extract.php

Hat hier eventuell jemand eine Idee?

Grüße
Roland

    Das wäre dann eher eine Frage an den Hoster.


    Generell gilt: eine gehackte Seite kann man nicht durch bisschen FTP-Recherche bereinigen und löschen da und hier, und, wenn man nicht weiß, ob das Backup nicht schon infiziert war, macht das ja keinen Sinn, eines einzuspielen. Zusätzlich werden bei Hacks nicht immer die selben Dateien geschrieben. Solche Hacks vervielfältigen sich und erlauben anderen Infektionen ebenfalls Zugriff über andere Wege als die entdeckten. Der Begriff "Viren" ist da schon recht passend.


    Nur, weil du und Hoster das früher noch nicht gemerkt haben, dass die Seite gehackt wurde, heißt das nicht, dass das ganz frisch ist. Gute Hacker verstecken sich und ihre Codes, da sie ja die Seite möglichst lang nutzen wollen.

    Hallo,


    laut Provider ist die Seite sauber. Mir scheint, es ist aber irgendwie noch eben mit dem Update was im argen. Mir wäre natürlich am liebsten eine Neuinstallation mit der alten Datenbank. Da dann den Template-Ordner und die Bilderordner reinkopieren, fertig. Was denkt Ihr?


    Grüße

    Roland

    Ich hab nun nochmals alles geprüft und Dateien verglichen. Alles war gut, nur ein so simpler Fehler ........

    Es war eine .htaccess im Ordner /administrator/components, welche die Ausführung von Scripten verhindert hat.

    Ja, ich hab da Vermutungen. Ich hatte ein kostenloses Plugin drin, welches diese olle Cookiemeldung bringt, damit die Leute das auch artig bestätigen können.... Im Root-Verzeichnis waren dann plötzlich einige PHP-Dateien zu viel, welche ich gelöscht habe. Die Dateien aus dem Root-Verzeichnis hatte ich dann aus einer Sicherung aus 2022 (letzte Änderungen) ersetzt und dann lief das wieder. Da ich mich nach dem Angriff wegen einer .htaccess im Admin-Verzeichnis nicht mehr anmelden konnte, hatte ich diese gelöscht. Wenn ich nun Dateien aus der Sicherung mit den dateien auf dem Server vergleiche sind schaut das gut aus. Es werden auch keine .htaccess-Dateien mehr erzeugt und die Seite ist durch sucuri geschützt, bzw. wird ständig geprüft. Passwörter und Zugänge sind natürlich auch alle geändert. Ich hoffe das wars... Schönes Ungemach (Das Schei..-Wort geht ja nicht).

    "CookieHint and Consent"

    Zitat von roland.k

    "CookieHint and Consent"

    Nachtrag: das Modul "CookieHint" hatte wohl nichts mit dem Angiff zu tun. Dieses war wohl auch Opfer und hatte dadurch nicht korrekt funktioniert.

    Einmal editiert, zuletzt von Indigo66 () aus folgendem Grund: Ein Beitrag von roland.k mit diesem Beitrag zusammengefügt.

    Das sieht nach einem klaren Hack aus.

    Professionelle Hackingbesitigung zu empfehlen. Siehe Button Dienstleister.

    Der Code ist verschlüsselt, damit man die Umleitungen etc. nicht erkennt.

    Seite dringend per Verzeichnisschutz vom öffentlichen Zugriff trennen und Profis ranlassen.

    Oder Webspace und DB komplett löschen!