hack? links nach google-recherche leiten auf jahoo-japan weiter

Ok, Ok,

Joomladummy geht in sich, David hat die "rote Linie" vorgegeben und nun können wir das abschließen, denke ich! Geht mich eigentlich ja nix an und habe mit der Seite genug Probleme, um die ich mich kümmern muss. Aber David, es ist wie im Leben: wenn etwas falsch ist, ist es besser es zu kommentieren, wie zu "löschen oder auszublenden". Der Lernprozess ist dann für alle einfacher!

Zitat von Webworker Berlin

Der wäre in welcher Tabelle mit welchem Inhalt ?

Es ist ein Eintrag in Zeile 191 der Tabelle von easybook (Gästebuch), in dem die Kundenbewertungen abgegeben werden. Ich habe die Tabelle exportiert und der Eintrag zeigt ein ganz merkwürdiges Verhalten. Es sind mehrere leere Zeilen vorangestellt, was nur bei Erweiterung der Spalten sichtbar ist. Diesem Eintrag hat etwas vorangestanden, was dann gelöscht wurde.
Kann mich natürlich auch irren!

Gruß
Wolfgang

Hi Wolfgang,

im Prinzip hast du selbstredend recht, das Problem ist hier aber das gängige Nutzerverhalten in Foren: man sucht nach einer Lösung zu einem bestimmten Problem und beim ersten vielversprechenden Post wird ausprobiert. Der Rest des Theeads ist dann bereits egal.

Was wir hier kommentieren erreicht die entsprechenden Nutzer dann nicht mehr, und das ist beim Thema Sicherheit schlicht unakzeptabel.

Zitat von ITA-Marketing

Es ist ein Eintrag in Zeile 191 der Tabelle von easybook (Gästebuch), in dem die Kundenbewertungen abgegeben werden. Ich habe die Tabelle exportiert und der Eintrag zeigt ein ganz merkwürdiges Verhalten. Es sind mehrere leere Zeilen vorangestellt, was nur bei Erweiterung der Spalten sichtbar ist. Diesem Eintrag hat etwas vorangestanden, was dann gelöscht wurde.

Hat meiner Meinung nach nichts mit einem Hack zu tun, sondern eher mit einem Spambot etc. Wenn da was gelöscht wurde, wurde das vermutlich durch das Easybook bereinigt. Ich glaube Viktor hatte da was verbaut damit nicht jeder Müll erscheint. Hab mit dem Easybook aber auch schon ewig nichts mehr gemacht, da Gästebücher out sind.

Hallo Euch allen zu später Stunde!

Zitat von Webworker Berlin

Hat meiner Meinung nach nichts mit einem Hack zu tun, sondern eher mit einem Spambot etc. Wenn da was gelöscht wurde, wurde das vermutlich durch das Easybook bereinigt. Ich glaube Viktor hatte da was verbaut damit nicht jeder Müll erscheint. Hab mit dem Easybook aber auch schon ewig nichts mehr gemacht, da Gästebücher out sind.

Da hast Du komplett Recht, denn ich bin fündig geworden nach Auswertung der "error.php", die die Anmeldungen protokolliert. Ich denke, es ist ein klassischer und erfolgreicher Wörterbuchangriff auf den Admin-Account. Der Angriff erfolgte über mehrere Tage. Das Protokoll füllt eng beschrieben 1921 A4-Seiten und besteht aus 63.374 Einträgen. Begonnen hat es am 2.7.2014. Die Anmeldeversuche fanden faktisch im Minutentakt statt.

2014-02-07T19:54:02+00:00 INFO joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!
2014-02-07T19:54:04+00:00 INFO joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!
2014-02-07T19:54:07+00:00 INFO joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!
2014-02-07T19:54:09+00:00 INFO joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!
2014-02-07T19:54:13+00:00 INFO joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!
2014-02-07T19:54:16+00:00 INFO joomlafailure Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!

Das Passwort bestand aus Groß- und Kleinbuchstaben gemischt mit Zahlen und umfasste 8 Zeichen. Sonderzeichen waren ja in 2013 nicht möglich. Ob das heute geht, entzieht sich meiner Kenntnis. Überrascht bin ich allerdings, dass dies überhaupt möglich ist und Joomla keine Sperre nach einer bestimmten Anzahl von Anmeldeversuchen vorsieht. Die 2 Komponentenauthentifizierung könnte da sicher Abhilfe schaffen. Das wäre dann ein "Muss"!!! Für User ohne Smartphone ist das natürlich ein Problem (soll es ja noch geben). Es muss also noch eine Notvariante eingebaut werden. Soviel erst einmal dazu. Ich will sehen, wie es weiter geht. Ich denke, irgendwo ist noch ein versteckter Zugang eingerichtet, wenn das System das hergeben sollte. Für einen Profi dürfte das kein Problem sein. Dennoch muss ich dem Angreifer erst einmal den Draht durchschneiden! Hab noch paar Stunden Schlaf. Vielleicht fällt mir im Traum was ein!

Gruß Euch
Wolfgang

Hallo David,

Zitat von SniperSister

...und das ist beim Thema Sicherheit schlicht unakzeptabel.

Das sehe ich auch so und bin beruhigt, wenn Ihr so denkt! Danke!

Gruß
Wolfgang

Zitat von ITA-Marketing

63.374 Einträgen. Begonnen hat es am 2.7.2014. Die Anmeldeversuche fanden faktisch im Minutentakt statt.

Gar nicht ungewöhnlich über einen so langen Zeitraum.

Hallo Euch,

Zitat von Re:Later

Gar nicht ungewöhnlich über einen so langen Zeitraum.

Aber nicht, wenn der einzige Zugang zum System der Admin-Bereich ist. Es folgen ein paar Tage später 3 Fehlanmeldungen in der Minute und das über Stunden. Des weiteren weiß ich, wann ich mich in etwa angemeldet habe. Natürlich kommt es vor, dass ich mich auch einmal irre und ein falsches PW verwende. Bleibt immer noch die Frage nach der Beschränkung der maximalen Fehlanmeldungen und eines Sicherheits-Logins. Naja, ich denke am Montag sind wir schlauer

Gruß
Euch

Das sind einfache Brut Force Versuche, denen man mittels eines Verzeichnisschutzes (htaccess) in /administrator entgegnen kann. Das ist äußerst effektiv, und schont die Serverlast.

Hallo,

Zitat von j!-n

Das sind einfache Brut Force Versuche, denen man mittels eines Verzeichnisschutzes (htaccess) in /administrator entgegnen kann. Das ist äußerst effektiv, und schont die Serverlast.

Nur zur Info: Seite ist in professionellen Händen und das ist gut so! Man darf sich nicht scheuen zuzugeben, dass man die eigenen Grenzen erreicht hat. Das ist gut so und konsequent! Es wird dazu sicher noch ein Info geben.

Gruß
Wolfgang

Das Problem von Wolfgang ist gelöst, quasi ein klassischer Fall von Mehrfach-Hack. Der erste war über ein Jahr her, da konnte ich nichts mehr finden. Die weiteren Hacks sind dann durch die erste Lücke immer weiter etabliert worden. Nun ist die Seite sauber, aktuell und abgesichert.

Hallo Euch,

Zitat von j!-n

Das Problem von Wolfgang ist gelöst

Chris gebührt ein ganz großes Dankeschön. Ohne Chris seiner Hilfe wäre das nicht zu machen gewesen. Es ist mit Sicherheit keine Werbung, aber bei Chris ist man gut aufgehoben. Kompetent, schnell und zuverlässig.

Nochmals Dank Euch allen. Ich bleibe dem Forum sicher treu!
Gruß und jetzt mal schon frohe Festtage
Wolfgang