Seite wird immer wieder "gehackt" - Accesslogs unklar

    Hallo zusammen,


    ich arbeite ja jetzt schon lange in der Branche "Homepage" aber langsam werde ich keinerlei Joomla mehr verwenden. Alle Installationen die ich habe werden ständig kompromittiert. Habe sowohl mit Htaccess laut den Anleitungen hier alles "geschützt" und habe auch sichere Passwörter und immer die aktuellsten Updates für Joomla selbst (mache ich wöchentlich) als auch für die Komponenten.


    Aber ich habe nun wieder Probleme selbst nach einer Neuinstallation. Meine Accesslogs aus meinem Server besagen solches und zwar den ganzen lieben langen Tag so oft wird ein "Bot" denke ich nicht vorbeikommen.



    Bin langsam echt ratlos und würde auch am Liebsten allen meinen Kunden sagen sie sollen lieber ein anderes System nehmen. Ich hab keine Ahnung mehr was ich machen soll. Kann doch nicht wöchentlich neu installieren.


    Lieben Gruß

    Zitat von KB1989

    aber langsam werde ich keinerlei Joomla mehr verwenden. Alle Installationen die ich habe werden ständig kompromittiert.


    Hast Du nach der Bereinigung auch das Sicherheitsloach ausgemacht und gestopft?


    Schon mal daran gedacht, dass es auch durch einen Virenbefallenen PC kommen kann (Keylogger)?
    Was passiert denn bei einer Komrimitierung?


    Vielleicht sollte mal ein Profi drüber schauen auch auf die PCs die Zugang zum BE der Webseite haben.


    Ich verwende seit 15 Jahren Joomla und bin noch nie (toi toi toi) gehackt worde. Warum sollte es dann am System liegen?


    Zitat von KB1989

    Meine Accesslogs aus meinem Server besagen solches und zwar den ganzen lieben langen Tag so oft wird ein "Bot" denke ich nicht vorbeikommen.


    <Warum nicht? Ich finde das Verhalten von Bots normal. Diese kannst Du übrigens auch per .htaccess ausschließen.

    Ergänzung:


    Habe mit meinen Google Webmastertools folgendes gefunden



    Diese Verzeichnisse bestehen aber auf meinem Server nicht, habe schon per FTP geschaut?!


    Ja nur das diese Verzeichnisse per "Get" nicht existieren /neap/d3jgwDd3/d3LFIbGULF/06.com
    :( :(

    Durchsuche mal die Webserver-Logs nach der Zeichenkette "POST", sag Bescheid, ob Du was findest.


    Generell wären die gesamten Logs interessant.


    PS: Ich hab m al für einen Kunden einen Server mit 40 Installationen/Webs betrieben. Dieser Kunde hatte die FTP-Zugangsdaten in einer Excel-Tabelle gespeichert und sein Rechner wurde kompromitiert. Bei dem wurden dann per FTP die Seiten angegriffen.


    War kein großes Problem, da es am nächsten Tag bemerkt wurde und ich einfach auf ServerEbene die Seiten restoren konnte.


    Wollte nur drauf hinweisen, dass es manchmal auch andere "Einfallstore" gibt.

    Zitat von KB1989


    Aber ich habe nun wieder Probleme selbst nach einer Neuinstallation. Meine Accesslogs aus meinem Server besagen solches und zwar den ganzen lieben langen Tag so oft wird ein "Bot" denke ich nicht vorbeikommen.


    Ehrlich gesagt, weiß ich nicht wie Du darauf kommst gehackt worden zu sein. Aus den Logfiles ist das für mich nicht ersichtlich. Bei der Problemstellung nützt eine Neuinstallation nichts. Die IP-Adresse gehört zu Google, was mich wundert, woher Google die Urls nimmt, die dann den 404 Fehler auslösen. Den Google Bot per htaccess auszuschliessen halte ich nicht für sinnvoll.


    Markiere mal in der Searchconsole alle 404 Urls als gelöst, ohne etwas gemacht zu haben. Ich hatte mal ein ähnliches Problem, das ich so gelöst habe. Es kann auch nicht schaden eine XML sitemap bereitzustellen und per SearchConsole indexieren lassen, wenn Du das noch nicht gemacht hast... :)

    LG Mario


    ########################################
    Vertan, sprach der Hahn und stieg von der ENTE