Weitere Infos nun hier einsehbar:
https://www.joomla.de/news/joo…heitsluecke-dezember-2016
Beiträge von flotte
-
-
Was erwartest Du denn wenn Du nicht updatest, keinen Wartungsvertrag hast und die Hinweise in der Joomlacommunity nicht ernst nimmst.
Hier mal ein FULL ACK -
gerade vor 1 min schrieb ich im joomlaportal.de dieses Posting:
ZitatSuch mal nach "joomla gehackt" und Du wirst tausende Fundstellen finden und nirgendwo wird dir geraten, das das Löschen einiger verseuchter Dateien ein gehacktes Web bereinigt. Ich kann daher diese immer wieder auftauchende Vorgehensweise einfach nicht mehr nachvollziehen.
Das liegt aber auch an den großen Providern, die einem eine Liste gehackter Files präsentieren und suggerieren das die Löschung reicht. In Nebensätzen steht dann noch das man untersuchen und updaten sollte, aber das kümmert die meisten unbedarften User heute gar nicht, zumal updaten auch gar keine Backdoors entfernt.Also:
nutze den oben gezeigten Link in der erst Antwort und gehe richtig vor!
Wenn das überfordert, dann Hilfe holen. -
Ja ich weiss viele Seitenbetreiber sind stolz auf Gästebucheinträge, aber...
Wenn ich sehe was auf den Servern bei Gästebüchern gehackt und gespammt wird, kann man davon nur abraten. Es sei denn der Betreiber überwacht das GB wirklich zeitnah, was erfahrungsgemäß nur selten passiert.
Ich rate mittlerweile dazu einfach einen Facebook-Link u setzen und schon kann man so viel kommentieren wie man will und erreicht darüber auch mehr Besucher. GB war gestern... -
Die htaccess hat nichts mit SSL zu tun.
Man kann damit die Links auf SSL-Link umbiegen, aber genau das macht auch das Joomla selbst mit seiner Funktion.Funktioniert SSL denn überhaupt? Teste das erst einmal mit dem Aufruf einer simplen html-Datei, die Du dann mit https: aufrufst.
SSL erzwingen via .htacces geht zum Beispiel so:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}Aber wie gesagt setzt das voraus, das der Webserver tatsächlich auch das SSL-Web liefern kann. Dies also erst mal prüfen
-
schau Dir das mal an: https://watchful.li/
-
Immer die neusten Versionen kann problematisch werden, denn ein Hoster schwimmt immer zwischen den Wünschen seiner Kunden und die setzen bei weitem nicht immer aktuelle Scripte ein. Aktuelle Versionen können also alte Kunden massiv vegraulen. PHP kann man ja noch für verschiedene Versionsreihenparallel nebeneinander anbieten, aber Web- oder Datenbankserver sind da anders. Das geht nicht ohne weiteres.
Die Versionsserien in den jeweiligen Distributionen (Debian, RedHat usw.) sind selten hochaktuell., was die Versionsnummern angeht, aber das heisst nicht das diese unsicher sind. Hier wird seitens der Distributoren mehr Wert auf optimale Zusammenarbeit der einzelnen Programme gelegt.Ein Debian Wheezy beispielsweise wird noch bis Mai 2018 supportet und hat einen stetig gepatchen 2.2-Webserver. Ein Debian Jessie 2.4, aber beispielsweise "nur" einen MySQL 5.5. Die Software wird durch Patches aktuell gehalten, auch wenn es neuere Versionsserien gibt.
https://wiki.debian.org/LTS/Wenn ein Kunde ganz besondere Wünsche bezüglich der Verionen hat, muss er diese bei seinem oder portentiell neuen Hostern erfragen. Man kann es nun mal nicht allen gleichzeitig recht machen. Meist gibt es aber Server mit unterschiedlichen Versionsstand, so das ein Hoster i.d.R. Ausweichmöglichkeiten bieten sollte.
Es ist auch nicht immer sinnvoll neuer Verisonen außerhalb der Distributen zu installieren oder gar zu compilieren, weil das die zukünftige Wartung bei Updates erheblich erschwert. Die Paketverwaltung muss sauber funktionieren, sonst steht man im Regen bei Massenupdates von vielen Servern. Leider muss man aber manchmal eigene Programme außerhalb der Distributionen mit aufnehmen, wie z.B. PHP. Dazu betreiben wir bespielsweise einen eigenen Sourcenserver, über den dann die Software verteilt wird.Also als Fazit würde ich sagen, das man anhand der Versionsnummern de reingesetzten Software nicht unbedingt auf die Qualität eines Hosters schließen kann - dazu ist das Thema unter der Oberfläche viel komplexer.
-
Danke Pascal, habe die JS-Injection aus dem Template index.php herausgelöscht.
Und du meinst tatsächlich das reicht?
Ist wenigstens die Seite vom Netz genommen oder ist Deine Rechtschutz so gut, um Schäden bei Dritten (also Deinen Besuchern) durch beispielsweise Ransomware oder andere Trojaner, die Deine Seite eventuell verteilt, abzudecken? -
Hallo Pascal
kannst Du mal von Deinen Erfahrungen mit watchful.li berichten? Würde mich interessieren.
Offenbar ein Cleint im Joomla zui installieren über den dann der Server das Joomla bedient/wartet.
Wo läuft der Server? Kann man die Serveranwendung selbst installieren oder muss man beim Anbieter buchen. Potentiell kann der Anbieter dann auf alles zugreifen. Da habe ich immer ein mulmiges Gefühl...
Backups: Muss Akeeba im Joomla installiert sein? Wohin werden Backups gemacht?Kann ich natürlich auch alles selbst rausfinden und mal einen kleinen Account buchen, aber falls Du damit schon mal gearbeitest hast kannst Du ggf. was dazu sagen.
-
für externen Zugriff ist HeidiSQL die perfekte Lösung:
http://www.heidisql.com/... allerdings sind nach außen offenen MySQL-Server nicht das was angestrebt werden sollte.
Falls Du SSH-Zugriff hast und MYSQL nur von innen erreichbar sein sollte, kannst Du ganz simpel über einen SSH-Tunnel darauf zugriffen. In Putty leicht integrierbar. Dann funktioniert der Zugriff solange Putty offen ist. Z.B. so: http://weppux.over-blog.com/20…putty-f%C3%BCr-mysql.html -
Ja Systemuser - welche Dienste und Zugangsarten damit auch immer verknüft sind. Es sollte sichergestellt sein, das keine unberechtigen Zugriffe aufgrund der Konfiguration der Systemrechte möglich werden. Das ist immer dann am einfachsten und sichersten, wenn für jedes Hosting auf dem Server ein eigener (System-)User und Gruppe existiert, und wenn Apache, PHP und FTP damit auf die Daten zugreifen können. Autom, gehören dann die Daten auf diesem User/Gruppe und es gibt keine Rechtekonflikte zwischen PHP und FTP.
-
Tja und was ist mit den anderen Usern auf dem Server? Stell Dir vor die sind in derselben Gruppe.
-
Auf gefühlt 99.9% alle Webhostingserver wird den Kunden ein phpMyAdmin zur Verfügung gestellt. Damit kannst Du die Datebbanken vollumfänglich bearbeiten (wenn man weiss was man tut). Frage Deinen Hoster danach oder suche im Hosting-Kundenmenü danach. Du kannst phpMyAdmin auch selbst installieren aber davon rate ich ab.
-
Stichwort wwwrun-Problem.
Wenn sich FTP-Systemuser und PHP-Systemuser unterscheiden, wirst Du laufend massive Probleme haben. Das Einstellen von 777er-Rechten ist kein sinnvolle Lösung, weil der Account dann vermutlich offen wie ein Scheunentor wird (hängt jedoch von der Serverkonfig ab).
Frage den Serveradmin ob es nicht möglich ist, das PHP mit dem Systemsuer des FTP-Accounts laufen zu lassen (also via fcgi und Konsorten).
Wenn das nicht möglich ist, rate ich dazu den Server zu wechseln auf einen besser kompatiblere Umgebung, wo es derlei Probleme nicht gibt. -
Danke SilOrs67!
...denn es ist ein Free-Webspace.
OK, dann hast Du nun Leergeld bezahlt. Nimm lieber 2 bis 5 Eur in die Hand, um Webspace mit Support zu buchen. Heutzutage hast Du dann auch Speichergrößen im GB-Bereich.
Die configuration.php musst Du Dir nun manuell wieder einstellen. Das ist auch keine große Sache. Installier Dir in einem zweiten Webspace oder lokal ein neues Joomla und nimme die dortige configuration.php. Es muss dann nur der Datenbankzugang und zwei Pfadangaben neu definiert werden. Geht einfach manuell oder mit Hilfe unseres kleinen Tools joom-config.Manuell sind diese Zeilen anzupassen: (Die Werte innerhalb der Hochkommas)
public $host = 'Datenbankserver meist loacalhost';
public $user = 'Datenbankuser';
public $password = 'Passwort Datenbankuser';
public $db = 'Datenbankname';
public $dbprefix = 'xxxx_';
public $log_path = 'absoluter Pfad zum Ordner logs';
public $tmp_path = 'absoluter Pfad zum Ordner tmp'; -
Webserver-Restart sollte eigentlich im Cnntrol-Panel zu finden sein. Also Apache stoppen und noch mal starten.
das memory_limit findset Du auch in der php.ini, wo Du auch max_execution_time gesetzt hast. Dort das memoty_limit auf 128M setzen (oder größer, aber 128 reicht allemal). -
Blöde Frage, aber hast Du Apache-Webserver nach der Umstellung der PHP-Werte neu gestartet? Erst dann werden die Werte übernommen.
Welche Werte hast du für php_memory_limit eingestellt? Nimm 128 MB - das reicht auf jeden Fall.
-
Ich denke es ist ein Zugriffsproblem auf die Datenbank. Vielleicht blockt auch eine lokale Firewall.
Wie lauten die Angaben, die du für den Datenbankzugriff eingestellt hast:
Server: (localhost oder 127.0.0.1)?
DB-Username: (root)?
DB-Datenbankname:
Passwort: (leer oder ein PW gesetzt)?Die Datenbank sollte existrieren, ebenso der Datenbankbenutzer. Vor der Installation prüfen, ob Du mit phpMyadmin darauf zugreifen kannst.
Ebsnso die PHP-Parameter ausreichend dimensionieren:
im Ordner /xampp/php/php.ini
max_execution_time = 120
ggf. auch dies:
post_max_size=48M
upload_max_filesize=48M -
PW-Abfrage ist vorhanden und auch für andere Unterverzeichnisse innerhalb /administrator. Außerhalb aber nicht.
Das kann nur eine /administrator/.htaccess sein. Vielleicht wurden die Rechte so verstellt, das die Datei per FTP nicht mehr sichtbar ist? -
Wenn die Dateien wirklich weg sind ist das allerdings in der Tat ein komisches Verhalten, welches ich eigentlich nur auf Caching zurückführen würde. Nicht auf Joomlaseite, sondern browserseitig oder im CDN (falls ihr so was nutzt) oder Proxies etc....
Schon mal versucht das administrator-Verzeichnis mit einem ganz anderen Browser oder einem anderen Internetzugang aufzurufen?
Nenn doch einfach mal den Link.
