Kein Zugriff auf Adminbreich

    Joomla Version
    5.xx
    PHP Version
    PHP 8.2.x
    Hoster
    Strato
    Link (URL) zur Seite mit dem Problem
    www.heyne-werbung/administrator

    Hallo zusammen!

    Ich wollte heute mal etwas an meiner Seite (http://www.heyne-werbung.de) ändern, kann aber den LogIn Bereich von Jommla ( /administrtor) nicht mehr aufrufen

    Es kommt eine Fehlermeldung "You don't have permission to access this resource."

    Diverse Lösungsversuche die ich per Websuche gefunden habe, haben keinen Erfolg gebracht. Z.B. den Cache per ftp zu löschen
    Strato selber sagt "nicht unser Probem, können wir nicht helfen"
    SSL Zertifikat ist via Strato installiert und wohl auch aktiv, die Seite an sich funktioniert, Zugang via ftp ist auch problemlos möglich.
    Die genau Joomla Version kann ich nicht nennen, komme ja nicht ins Backend.

    Das Joomla Backend einer anderen Seite die auf dem gleichen Webspace liegt ist ohne weiteres erreichbar.

    Ich würde mich sehr freuen, wenn ich hier Lösungsvorschläge bekommen würde.

    Vielen Dank im voraus!

    Gruß
    Jörg

    Siehe z.B. auch:

    Astroid Framework Angriffswelle

    Alle Astroid-Framework-Versionen vor 3.3.11 haben eine schwere Sicherheitslücke!

    Es gibt eine schwere Sicherheitslücke auf der Website da derzeit Version 3.3.3 des Astroid Frameworks verwendet wird bzw. vorhanden ist:

    <version>3.3.3</version>

    aus:

    https://www.heyne-werbung.de/administrator/manifests/libraries/astroid.xml

    Dies hat absoluten Vorrang vor allen anderen Problemen mit der Website!

    Prüft und sichert auch gegebenenfalls weitere Joomla-Websites(z.B. Website-Kopie) auf dem Webspace!

    Grundsätzlich sinnvoll ist das deinstallieren von allen unbenutzen Erweiterungen und das schützen von Test-Websites bzw. Website-Kopien im Internet z.B. per entsprechender "Benutzername/Passwort" .htaccess im Joomla-Root Dateiordner. Also in dem Dateiordner in dem auch die configuration.php ist.

    Weitergehender zusätzlicher Schutz für die öffentliche Website siehe z.B. ab #4 dort:

    ...Firewall...

    Die Website ist möglicherweise gehackt oder das Joomla-Backend wurde vom Hoster "automatisch" geblockt wegen der vorhandenen Sicherheitslücke...

    Ein .htaccess-Schutz z.B. per entsprechender "Benutzername/Passwort" .htaccess für das Administratorverzeichnis ist übrigens auch sehr sinnvoll.

    Die neueste Astroid-Framework-Version ist derzeit übrigens die 3.4.0

    Zitat von Sieger66

    Alle Astroid-Framework-Versionen vor 3.3.11 haben eine schwere Sicherheitslücke!

    Es gibt eine schwere Sicherheitslücke auf der Website da derzeit Version 3.3.3 des Astroid Frameworks verwendet wird bzw. vorhanden ist:

    <version>3.3.3</version>

    Danke für die Info!

    Was heißt das jetzt GENAU für mich?
    Ein Update der Asteroid-Version ist über das Backend nicht möglich.
    Das heißt dann, das die z.Zt. einzige Lösung für mich eine komplette Neuinstallation mit einer Sicherung ist?

    Und was bedeutet "htaccess-Schutz"

    Sorry für die Fragen, bin in dem Thema mit meinen Ü55 eher der Laie

    Vielen Dank!

    Du bist übrigens nicht der einzige mit diesem Problem bei STRATO. Siehe z.B.:

    Beim Versuch ins Administrator Backend zu kommen Fehlermeldung: 403 Forbidden

    Zuerst mal meinen ersten Link in #2 benutzen und den verlinkten Thread komplett lesen und beachten!

    Bezüglich "htaccess-Schutz" siehe z.B. auch Passwortschutz dort :

    https://www.fc-hosting.de/support/faq_ge…bsite-hilfe.php

    sowie:

    https://www.strato.de/faq/sicherheit…wort-schuetzen/

    Zitat von Sieger66

    Zuerst mal meinen ersten Link in #2 benutzen und den verlinkten Thread komplett lesen und beachten!

    Auch wenn dort vieles "Böhmische Dörfer" für mich sind, die folgenden Dateien konnte ich nicht finden:

    /plugins/system/blpayload/blpayload.xml
    /plugins/system/jcachepro/jcachepro.xml

    Das was "merkwürdig" aussieht ist ein Ordner der "jooa11y" heißt.

    zum htaccess-Schutz werde ich mich dann mal mit der Strato-Anleitung befassen (müssen)

    Zitat von jh312

    ...zum htaccess-Schutz werde ich mich dann mal mit der Strato-Anleitung befassen (müssen)...

    Würde an deiner Stelle den htaccess-Schutz am besten zuerst bei einer Website umsetzten bei der das Backend noch funktioniert und noch nicht per .htaccess geschützt ist, um die diesbezüglich erforderliche vorgehensweise und funktionalität zu lernen...

    Falls noch nicht erledigt:

    Vorhandene Backups der Website von vor dem 22.02.26 auch auf den lokalen Computer herunterladen.

    Zitat von jh312

    ...Das Joomla Backend einer anderen Seite die auf dem gleichen Webspace liegt ist ohne weiteres erreichbar...

    Alle Websites die auf dem gleichen Webspace liegen muß man auch auf Schadcode prüfen!

    Wenn du eine Sicherung vom Januar 2026 hast, dann ist diese sehr wahrscheinlich "sauber". Dann könntest du diese neu einspielen. Anschließend alles aktualisieren. Den administrator-Passwortschutz in jedem Fall sofort nach dem Einspielen einrichten. Dieser hat schon immer äusserst effektiven Schutz gegenüber Hackangriffen geboten.
    Der gehackte Webspace sollte vorher geleert werden, ebenso die Datenbank(en). Ich hoffe, da liegen keine weiteren Projekte auf dem Webspace, die dann auch betroffen sein können.

    Tipp: Die Sicherung vor dem Löschen des Webspace auf Funktionsfähigkeit testen! Nicht dass auf einmal nichts mehr vorhanden ist und du deine Joomla-Webseite wirklich komplett neu erstellen musst.

    Viele Grüße!
    JoomlaWunder

    Zitat von JoomlaWunder

    Wenn du eine Sicherung vom Januar 2026 hast, dann ist diese sehr wahrscheinlich "sauber". Dann könntest du diese neu einspielen. Anschließend alles aktualisieren. Den administrator-Passwortschutz in jedem Fall sofort nach dem Einspielen einrichten. Dieser hat schon immer äusserst effektiven Schutz gegenüber Hackangriffen geboten.

    Wie geschrieben, hab ein (akeeba) Backup aus Dezember 2025
    Wie spiele ich das jetzt neu ein?
    Neuer Ordner im Webspache - Joomla neu installieren - Akeeba installieren - Backup aufspielen
    Oder kann ich mit dem Akeeba-Kickstarter was anfangen von dem ich grade gelesen habe?

    Da ja wohl eine neue Datenbank her muss, denke ich die erste Option, oder?

    Sorry für die vielen Fragen, bin wie gesagt in dem Thema Laie der sich hier sein begrenztes Wissen selbst angelesen hat.

    Zuerst müßen alle gehackten Websites auf dem Webspace ermittelt werden und anschießend der öffentliche und ungeschützte Zugriff auf die gehackten Websites muss verhindert werden.

    Siehe z.B.auch:

    https://www.fc-hosting.de/support/faq_ge…bsite-hilfe.php

    Sonst kann das ausführen oder ausnutzen von Schadcode einer anderen gehackten Website auf dem selben Webspace deine bereinigte oder wiederhergestellte Website erneut mit Schadcode verseuchen!

    Ersteres ist falsch. Die Akeeba-Sicherung beinhaltet bereits das komplette Joomla inkl. DB-Tabellen.
    Einfach kickstart.php und Sicherung in ein leeres Verzeichnis legen. Die (Sub)Domain sollte darauf verweisen.
    Dann kickstart.php umbenennen und starten,z.B. start.php. Wenn start.php nicht startet (z.B. 500er Fehler), dann beachte den FTP-Übertragungmodus "binär" für das aktuelle kickstart.php. Nur so nebenbei, weil es sich noch nicht so herumgesprochen hat, dass es ab kickstart-Version 9 halt jetzt anders ist.
    Dein altes Joomla am besten vorher löschen. Dann kannst du auch das gleiche Verzeichnis nutzen. Ansonsten das alte Verzeichnis umbenennen und mittels .htaccess und .htpasswd aus Sicherheitsgründen vor dem Zugriff schützen. Nicht dass dein eingespieltes Joomla sofort wieder Probleme bekommt.

    Auf keinen Fall darfst du die Sicherung in ein vorhandenes Joomla einspielen! Ganz wichtig!

    Und bei mehreren Projekten, achte darauf, dass alle parallel zueinander liegen, also z.b.
    /joomla1
    /joomla2
    usw.
    Lege ein Joomla nicht in ein Unterverzeichnis eines anderen Projekts. Die .htaccess des oberen Verzeichnisses wirkt sich nämlich auf Unterverzeichnisse aus. Das auch nur so nebenbei.

    Und ja, eine Datenbank sollte vor dem Einspielen existieren, da du dessen Zugangsdaten während des Einspielens angeben musst.

    Viele Grüße!
    JoomlaWunder

    Hallo zusammen!

    Zuerst mal vielen Dank an alle für die Hilfe!
    Seite läuft wieder, Zugriff auf Backend ist wieder da.

    Was jetzt halt ist der htacess Schutz.

    Aber dafür mache ich einen gesonderten Post auf damit der später von anderen zu finden ist