Akeeba Admin Tools php file scanner

Hallo Nadja,

soweit ich das erkennen kann, benötigst du mindestens PHP 5.2 damit AdminTools funktioniert

https://www.akeebabackup.com/compatibility.html

Gruß

Hallo nadjak,

deine Joomlaversion hat diverse Sicherheitslücken. Aktuell wäre momentan 2.5.28
Danach solltest Du über ein Upgrade auf Joomla 3.4.1 nachdenken, da Joomla 2.5 nur bis zum 31.12.2014 mit Sicherheitsupdates versorgt wurde.

Gruß Faro

und wenn wir schon dabei sind: Admintools die letze Version für J 2.5 ist Version 3.4.4, braucht dann aber min. PHP 5.3.4

also immer schön dranbleiben

Hallo nadjak,

ich will nicht drauf Rumhacken, aber in deinem Fall ist ein Update auf 2.5.28 sehr Wichtig, da es in deiner Version erhebliche Sicherheitslücken gibt.
Zu deiner selbst programmierten Componente. Wenn diese vernünftig programmiert wurde, solte diese ein Update innerhalb einer Joomlaversion überstehen.

Du könntest doch ein Uptate auf einer Spiegelung deiner Seite Testen.

Gruß Faro

Zitat von nadjak

Daher sollte ich nur kurzfristig für etwas mehr Sicherheit sorgen und jemand anderes macht dann das Update.

Unterstützung ist da kaum möglich in einem Forum.

Das einzige, was es noch gibt, ist in der Joomla-Konfiguration Fehler berichten auf Maximum stellen und hoffen, dass irgendeine Meldung ausgegeben wird.

Andere Möglichkeit, bei Akeeba Situation schildern und um Support bitten (was natürlich kosten wird, ohne, dass man wissen kann, ob es zum Ziel führt).

Ganz ohne Unterton (ist einfach so):
- Auch AdminTools laufen unter "Schlangenöl". Zusätzlich weist Akeeba darauf hin, dass (auch) diese Software davon ausgeht, dass man sein Joomla und Erweiterungen aktuell hält.

Es läuft darauf hinaus, dass dein Auftraggeber Geld locker machen muss, wenigstens für diese Zwischenschritte
- "händischer" Dateiabgleich und Kontrolle, ob sich Schadcode bereits in diesem Joomla befindet,
- Update der PHP-Version auf mindestens PHP5.4,
- Update des Joomlas auf 2.5.28, inklusive die Core-Hacks wieder zum Laufen zu bekommen bzw. eine Abschätzung bzw. auch gleich Umsetzung diese Core-Hacks in joomlakonforme, updatesichere Codes zu überführen.
- Das vertraglich zugesichert.
Ein erfahrener Joomlafachmann, der das entsprechende Werkzeug hat, sollte das kurzfristig und preislich akzeptabel hinbekommen.

Das ist dann eine Basis, die ihr nahezu jedem anderen "Updater" übergeben könnt, wofür ihr euch dann etwas mehr Zeit lassen könnt.

Jedenfalls solltest Du eine Kopie der Seite anlegen und dort deine weiteren Versuche unternehmen, wenn du selbst weitermachen willst.

Ich gebe dir in allem recht.
Magst du erklären, warum die Akeeba-Admintools nicht wirklich die Rettung des Abendlandes sind? Ich habe sie in meiner Anfängerzeit mal installiert und wieder verworfen weil ich keinen Nutzen gesehen habe. Aber das ist noch keine fundierte Erklärung.

Zitat von firstlady

und wieder verworfen weil ich keinen Nutzen gesehen habe. Aber das ist noch keine fundierte Erklärung.

Na ja, letztlich doch, wenn Benutzer ehrlich mit sich sind. Wenigstens ein richtiges Résumé.

Betrachten wir diesen Thread. Eine Joomla-Seite wurde über Jahre unsicher gehalten. Der Scanner wird als Lösung betrachtet, aus dieser Bredouille rauszukommen (Tschuldige @nadjak !), was nicht mal ansatzweise möglich ist. Das ist purer Glaube betrachtet man sich die Innereien dieses Scanners. Noch dazu, weil AdminTools nicht aktuell ist (ProVersion), das dann vielleicht noch die eine oder andere aktuellere Heuristik bei hat (weiß nicht, ob Fachfrau so sagt ((Muss grad lachen über die ersten beiden Absätze bei Wikipedia zu Heuristik => Treffer.))

An den Stellen, wo wirklich Gefahr droht, kann der Normalsterbliche ohne tiefere Joomla-, PHP-Kenntnisse etc. nichts ausrichten, erkennt die Gefahr auch gar nicht, klickt sie weg, weil ja ansonsten viel mehr grün ist... Löscht mutmaßlich Gehacktes. Ignoriert tatsächlich Gehacktes... Und schaut nach 3 Wochen Engagement eh nicht mehr rein

Ich will dem Herrn Akeeba nicht zu nahe treten (auch, wenn ich sein FOF unnötig wie Kropf im Joomlacore finde ).
Es mag Professionelle und versierte Laien geben, die genau wissen, wobei AdminTools sie unterstützen kann, aber die Mehrzahl derer, die Fragen bzgl. AT an mich richten oder, die ich entnervt frage, ob das Ding denn wirklich sein muss (am besten noch in Kombination mit anderen Akeeba-Wächtern), weil es flüssiges Arbeiten teils extrem stört, haben nicht den geringsten Plan, was das Teil eigentlich soll und was sie da wo warum eigentlich eingestellt haben. (Und entweder die selbst oder ich schalten das Dingens schließlich aus).

Außerdem habe ich nur eine Version 3.0.3/Joomla3 der Pro. Vielleicht ja mittlerweile alles viel besser geworden.

Das sagen meine Notizen:

5MB Installationsdateien schon für kostenlose Basisversion, die ja nun nicht viel macht.

Notfallabschaltung:
- htaccess mit allow:aktuelle(!) eigene IP wird geschrieben. Alte .htaccess gelöscht.
- Rücksetzung nur per FTP-Zugriff und nur mit entsprechenden Kenntnissen wie man verlängert oder deaktiviert.
- Oder durch "Löschen der .htaccess und neu erstellen" steht im Manual.
- Wenn beim Provider in .htaccess spezielle Einstellungen nötig ggf. Serverfehler.
- nahezu jeder Provider löst das eleganter.

Admin-Passwortschutz:
- Löscht ggf. bestehende /administrator/.htaccess undwiederbringlich anstatt Passwortschutz einfach nur zu ergänzen.
- nahezu jeder Provider löst das eleganter.

Berechtigungen schrauben:
- Bestenfalls noch bei Exoten-Providern nötig.
- Rücksetzen auf alte Werte nach Zerschuss nicht möglich (Restore). Lediglich Pauschalwerte für alle.
- Oder anders: Man muss Usern nur pauschal erzählen, dass sie die Sicherheit der Seite erhöhen, wenn sie an Schreibrechten rumschrauben und sie glauben, dass ihre Seite sicherer ist, weil sie das getan haben, ohne, dass sie wüssten, was die 3 komischen Zahlen bedeuten. Spätestens beim Versuch das alles wieder zurückzusetzen, wenn etwas nicht funktioniert...

Scanner:
- Suggeriert, er sei etwas wie Virenscanner, arbeitet aber nicht mit Virensignaturen o.ä, lediglich paar Standards.
- .htaccess-Datei und v.a. werden nicht geprüft.
- Unbedarfter User wird mit Checkliste konfrontiert, die voraussetzt, dass User weiß, was er in Vergangenheit gemacht hat und was er als unbedenklich markieren kann.
- Lokaler Komplett-Scan 400MB (das meiste aber Bilder, 6500 php-Dateien) läuft bei mir gerade seit Stunden. (War mein Fehler)
- Scannt PHP-Files nach Endung (Kleinschrift). Lässt viel zu viel aus, was hochgeladenes PHP sein könnte und trotzdem ausführbar ist.
- Extrem ressourcenfressend, wenn maximal genutzt. Hebelt schwächere Webseiten aus.

Firewall:
- Die Firewall, wenn hart eingestellt, müllt einen mit panikerzeugenden False Positives zu (und blockiert die auch), bis man sie so eingestellt hat, dass man sich eine Firewall sparen kann. Zusätzlich gehört eine Firewall VOR das System, das man schützen möchte. Binsenweisheit.
- Die tut ihre Arbeit nicht alleine, jedenfalls nicht verlässlich. Braucht man also Hintergrundwissen...

Zitat

DISCLAIMER
Sicherheitsbezogene Komponenten, wie diese hier, sind nicht dafür gedacht 100% Schutz gegen jegliche denkbaren Hackerangriffe zu leisten. Obwohl sie schon den Sicherheitsstandard Ihrer Seite anheben, ersetzen sie keines Falls ein gut funktionierendes Gehirn und weitere Sicherheitsfeineinstellungen für Ihre Seite. Schlussendlich sollten Sie immer eine Sicherung Ihrer Seite haben und ungewöhnliches Verhalten Ihrer Seite beobachten, auch wenn Sie diese Software verwenden.

Admintools hatte in den Tagen von Joomla 1.5 mal eine gewisse Berechtigung, um die Seite ein wenig sicherer zu machen. Nachdem dann diese Sicherheits-Features in den Core gewandert sind ist es mit Joomla 2.5 überflüssig geworden und macht die Seite nicht sicherer.

Zitat von nadjak

sondern als schnelle Maßnahme um die Seite schnell etwas sicherer zu machen

Und deshalb habe ich den Begriff Schlangenöl gezogen. Die Seite wird nicht sicherer.

Zitat von nadjak

Denn die Updategeschichte wird etwas mehr Zeit beanspruchen.

Aber die von mir genannten Zwischenschritte nicht, weil ihr in der 2.5er-Linie bleibt, Template und Erweiterungen weiterlaufen können und ihr tatsächlich ein sicheres Joomla habt, wenn Ihr keine Pfeife machen lasst, auch Update-Scharlatan genannt ;-).

Um die Seite schnell sicherer zu machen ist es nötig, schnell auf die letzte Version von Joomla 2.5 zu updaten, wie Re:Later rät und alles natürlich mit der eigenen Kopie, wie schon gesagt. Wenn du die eigenprogrammierte Dritterweiterung nicht patchen möchtest und sie elementar wichtig für die Seite ist, dann gebe vielleicht doch den Job gleich an jemanden anderen ab.

Du könntest vermutlich trotzdem ein wenig machen, z.b. das tmp-Verzeichnis sperren, Einstellungen im PHP machen um den Server abzusichern, PHP updaten, ggf. Sicherheitsplugins gegen unbeholfene Erweiterungsprogrammierer bzw. sql-Injections installieren etc. Aber all das erfordert immer die Kenntnis der Umstände und Anforderungen der Joomla-Version sowie im Einzellfall der installierten Dritterweiterungen. Vor einem Exploit schützen solche Maßnahmen nur bedingt, auch wenn sie das Risiko verringern können.

"Ähnliches Thema":

AdminTools oder SecurityCheck oder Alternative