Hackerangriff - Ist was passiert?

  • Joomla Version
    5.1
    PHP Version
    PHP 8.3.x
    Hoster
    Strato

    Hallo,

    ich habe eine Joomla Seite mit dem Plugin "Marcos Interceptor".
    Heute habe ich eine mail bekommen, das ein Hack Versuch unternommen wurde.
    Ich kann mir aber aus der Meldung nichts nehmen.

    Was bedeuted das? Ist etwas passiert?
    Muß ich etwas unternehmen?

    Danke :)

  • Hallo,

    Nun ja, abgesehen davon, dass ein Update dieser Erweiterung in 2014 war, können wir dazu nicht viel sagen.
    Wird u.a. pearcmd angesprochen, wo ich nur alte Github Einträge gefunden habe.
    Hier gab es auch mal dazu etwas: https://forum.joomla.org/viewtopic.php?t=971037 (letztes Post).

    Daher folgende Listen abarbeiten:

    Liebe Grüße
    Christine

  • Die Erweiterung ist sehr alt, Im englischen Forum steht aber, dass diese Erweiterung auch in J4 funktioniert und es sieht auch ganz so aus.

    Sie soll Hackerangriffe erkennen und anscheinend hat sie einen erkannt und die Information dazu ausgegeben.
    Das wäre erst mal eine gute Nachricht.

    Ob nun für deine Seite Maßnahmen erforderlich sind kann ich nicht sagen, ich kenne das Plugin nicht.

  • Ich hatte diese Erweiterung auch mal, und möchte daher diese Meldung nicht kleinreden.

    Aber, da diese Erweiterung seit Jahren nicht mehr weiterentwickelt wird, sollte man drüber nachdenken, ob sie eventuell mehr Schaden als Nutzen bringt, und ob man sie deshalb nicht lieber deinstallieren sollte. (Letzte Aktualisierung 2014.)

    Halte dein Joomla 5 sowie alle Erweiterungen aktuell, und sichere dein Backend mit einer .htaccess ab. Dann hast Du schon sehr viel in Sachen Sicherheit getan.

  • Ich hatte die Erweiterung auch mal und habe sie schon vor ein paar Jahren rausgeschmissen. Ich hatte sehr viele Warnungen, doch nie ein echtes Problem.

    Und, wie faro schreibt, das Backend mit .htaccess absichern. Zusätzlich nutze ich für den Super User noch Mehrfachautorisierung mit Einmal-Codes (TOTP) und Passkey (per Windows Hello).

  • So viel ich weiss hat ECC auch diese Funktion integriert, also derselbe Code. Ggf. etwas abgewandelt - das kann nur Viktor beantworten.

    Ich hatte das Tool früher auch im Einsatz, aber es macht bei irgend einer Migration Probleme und wurde seinerzeit bei mir mit ECC ersetzt.

    Die Meldung als solche zeigt ja einen Hackversuch an und blockiert diesen normalerweise. Solche Angriffe gibt es eigentlich am laufenden Band, je nach Website. Bislang wurdest Du offenbar verschont.

    Sofern der Server sicher konfiguriert ist, alle Scripte aktuell sind, passiert da nix. Ob also ein Hack Erfolg hatte oder nicht kann man alleine daran nicht erkennen.

  • Erst mal Danke an alle beer

    Zitat

    Die Erweiterung ist sehr alt, Im englischen Forum steht aber, dass diese Erweiterung auch in J4 funktioniert und es sieht auch ganz so aus.

    Das habe ich auch gelesen und deshalb ist die Erweiterung noch aktiv. Für die Verwendung mit PHP8 mußte #[\AllowDynamicProperties] eingefügt werden. Ich hab da keine Ahnung, hat ein Bekannter von mir gemacht pardon
    Aber sie scheint ja was zu machen.

    @christine2:
    Ich hab der conifiguration.php die Berechtigung 400 gegeben, wie im Post angegeben.

    @alle:
    Ich habe diese Erweiterung gefunden: Securitycheck by Texpaok
    Macht die in der freien Version das Gleiche wie Marcos Interceptor? Ich habe widersprüchliche Informationen gefunden.
    Einmal ja, einmal nein (nicht in der freien Version).

    Wenn das funktionieren würde, würde ich den Interceptor deinstallieren.

  • Hallo nirewa,

    wie der Hersteller schon schreibt, "Die Web-Firewall wurde gegen mehr als 90 SQL-, LFI- und XSS-Angriffsmuster getestet"

    Es gibt keinen 100% Schutz! Du musst bedenken, dass solch eine Software immer im Hintergrund mitläuft und somit eventuell auch deine gesamte Seite ausbremsen kann.

    Ich rate dir wie hier schon beschrieben, zum ECC+. Mit diesem kannst Du auch dein SQL_inj....... Problem lösen.

  • Ich empfehle dir die Vorträgen von David (es gibt auch noch andere) über Joomla Sicherheit. Hier z.B.

    Externer Inhalt youtu.be
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.
    erklärt er warum Erweiterungen nicht unbedingt sinnvoll sind.