Beiträge von Walddorf & Städtler

    Hallo


    Bei älteren Versionen von Joomla würde ich immer nur auf einer separaten Kopie der Seite arbeiten, da man hier durchaus auf unschöne Überraschungen stoßen kann. Vor allem aber, wird damit nicht der laufende Betrieb gestört und man bekommt ein größeres Zeitfenster, falls zum Beispiel das Template nicht mehr kompatibel sein sollte.


    Die Joomla 3.4.8 dürfte von Ende 2015 / Anfang 2016 stammen und hat seit längerer Zeit auch keine (SIcherheits)Updates mehr bekommen. Der Hinweis das dort eventuell ein bisher unerkannter Hack vorliegt wäre also durchaus möglich. Ich persönlich würde jetzt aber nicht davon ausgehen, da es sich eher nach einem technischen Problem anhört.


    Schau mal bitte in der Systeminfo deines Joomla ob dort alle Mindestvorraussetzungen für die Version jetzt - und noch wichtiger - für die neue Version von Joomla gegeben sind. Und bei der Gelegenheit auch bitte kontrollieren ob alle wichtigen Verzeichnisse vorhanden und beschreibbar sind.


    Gruß Jan

    Moin


    Von welcher Version aus soll den aktualisiert werden? Dein Hinweis hierzu könnte unterschiedlich gedeutet werden. Also zum Beispiel von Version xyz auf Version 3.7.4, oder von der 3.7.4 auf die aktuelle 3.7.5.


    Ausserdem wäre es von Vorteil zu wissen, ob dort eventuell noch andere Updates offen sind? Ganz speziell habe ich dort zum Beispiel die Aktualisierung auf den neuen Installer im Blick.


    Und natürlich die Frage, ob an dieser Seite überhaupt schon mal Updates vorgenommen oder neue Komponenten installiert wurden?


    Gruß Jan

    Moin


    Soweit mir bekannt gibt es zwei unterschiedliche htaccess-Dateien von Joomla-Security. Einmal eine relativ "normale" die keine Probleme machen sollte, und dann noch eine "verschärfte" Variante die sehr viel weiter geht und mit Vorsicht genossen werden sollte. Die normale Version hatte mir der Christian schon mal zur Info geschickt und sah recht harmlos aus. Schau mal was Du dort laufen hast, eventuell reicht es schon, wenn Du auf die kleinere Variante gehst.


    Gruß Jan

    Auch hier die selbe Frage wie im andern Thread. Was soll das sein, eine erweiterte htaccess?


    Moin


    Na es gibt doch z.B. die "erweiterten" htaccess-Dateien von Joomla-Security, die zusätzliche Sicherheitsregeln beinhalten. Aber auch die Admin Tools von Akeeba (htaccess-maker) sind ein wahrer Quell, fast unendlicher Möglichkeiten, sich mit unbedachten zusätzlichen Regeln die eigene Seite lahmzulegen. Ob man das nun unbedingt benötigt sei dahingestellt, auf jeden Fall kann man damit klasse Fehler generieren.


    Gruß Jan

    Moin


    Schau mal bitte bei den Sprachen, ob dort eventuell manuell Overrides gesetzt wurden. Damit könnte man sich theoretisch solche Probleme einhandeln, die auf den ersten Blick nicht ersichtlich sind. Falls dort nichts zu finden ist, würde ich kontrollieren, ob neben den aktuellen Sprachdateien für Joomla selbst, auch die jeweils aktuellen für zusätzlich installierte Komponenten vorhanden sind. Gut möglich, dass Dir hier eine nicht kompatible (alte) Sprachdatei in den Rücken fällt.


    Gruß Jan

    Hallo


    Die Pfade passt Akeeba eigentlich automatisch an, wenn man den entsprechenden Haken bei Restore setzt. Funktioniert normalerweise auch ganz gut. Soweit ersichtlich lädt die Seite bereits ganz normal, lässt sich daraus schließen dass das Problem bereits gelöst ist? Falls nicht, würde ich schauen wohin deine Anfrage überhaupt geht. Gut möglich das dein Rechner noch auf die alte IP auflöst, weil sie sich bei dir im Cache befindet. Wie gesagt erscheint deine Seite aber bei mir ganz normal.


    Gruß Jan

    Hallo


    Wenn Du eine "einfache" Lösung mit fertigen Optionen wünscht, könntest Du z.B. das "Maxi Menu CK" für Deine Zwecke einspannen. Lässt sich eigentlich sehr leicht einbinden und bietet die wichtigsten Parameter, um auf die Ausgabe einwirken zu können. Das Modul gibt es schon ewig (ich glaube sogar seit Joomla 1.0) und wurde immer aktiv weiterentwickelt.


    https://extensions.joomla.org/…enu-systems/maxi-menu-ck/


    Gruß Jan

    Hallo


    Von welcher Version aus, wurde denn das Update vorgenommen? Auf jeden Fall lohnt es sich immer direkt nach einem Update den Cache in eigenen Browser zu leeren. Gerade die Skripte die von den Editoren stammen (besonders gerne beim JCE) legen sich bei unterschiedlichen Versionsständen gerne mal quer. Plugins, wie jenes für den "Bild-Button" unterhalb des Editors, deaktivieren sich aber ganz sicher nicht von allein. Hier würde ich ebenfalls ansetzen und in Erfahrung bringen, welche Arbeiten im Zuge mit dem Backend ebenfalls vorgenommen wurden.


    Und natürlich das "Best of" der hier zu lesenden Tipps. Bitte nicht nur Dein Joomla selbst aktualisieren, sondern ebenfalls alle darin installieren Erweiterungen, Plugins, Module und das aktiv genutzte Template.


    Gruß Jan

    Hallo


    Bei ganz ungewöhnlichen Fällen, lohnt es sich eigentlich immer auch den Core zu ersetzen, beziehungsweise eine Sicherung neu zu erstellen und herunterzuladen. Denn sowohl beim Up- als auch beim Download können Dateien beschädigt werden, ohne das dies auf den ersten Blick ersichtlich wäre. Ganz besonders "seltsame" Fehlerbilder lassen sich damit bereits oft beheben.


    Als zweiten Punkt würde ich beim Verzeichnis und der Datenbank ansetzen. Soweit ich mich erinnern kann, werden sowohl bei Confixx, als auch bei Plesk oder Akeeba Backup nur jene Bestandteile auf dem Webspace / Datenbank ersetzt, die sich auch in der Sicherung befinden. Alles andere bleibt von einer Wiederherstellung unangetastet. Daher macht es durchaus Sinn das Verzeichnis / Datenbank vor der Wiederherstellung umzubenennen und dann (leer) die Wiederherstellung zu starten. Gut möglich das hier das Problem in einer zurückgebliebene Datei zu finden ist.


    Gruß Jan

    Das eigentlich Problem ist doch, dass man wissen muss wonach man sucht. Das einem halbwegs bekannt ist, welche Dateien an den jeweiligen Ort gehören und ob der Inhalt wirklich "Joomla" ist. Kenne ich das System nicht halbwegs, dann sind das alles nur Mutmaßungen und es bleibt garantiert Schadcode übrig, der wahrscheinlich für den nächsten Hack genutzt wird. Der Hauptgrund ist aber wie gesagt das mangelnde Detailwissen zum System selbst.


    Wenn man sich das auch verschiedenen Gründen nicht aneignen kann oder möchte, bleibt als einzig praktikable Möglichkeit, die Webseite von Grund auf neu nachzubilden und die Inhalte dann manuell zu übertragen.


    PS: Projekte auf denen der Besitzer bereits selbst herum probiert hat, am besten noch mit Updates, fasse ich persönlich auch als Auftrag nicht mehr an. Das hat einfach damit zu tun, dass wichtige Spuren verwischt werden, die für eine erfolgreiche Bereinigung nötig sind. Ausserdem treibt es den Aufwand enorm in die Höhe und macht viel Nacharbeit notwendig.


    Gruß Jan

    (Allerdings noch eine Uraltversion von Joomla 1.5.20)
    Suche nun die Angriffsstelle


    Die Frage nach der möglichen Sicherheitslücke stellt sich in diesem Kontext ja eigentlich nicht mehr. Die letzte "sichere" Version war die 1.5.26 plus den (inoffiziellen) Sicherheitspatch. War das nicht mindestens Stand der Dinge, muss man auch nicht aufwendig nach einer möglichen Lücke suchen. ;-)


    Gruß Jan

    Hallo


    Schau doch bitte mal in die "configuration.php" was dort für die Sessions eingetragen ist.


    Laufen die Sessions exklusiv über die Datenbank sollte dort diese Zeile stehen...


    Code
    1. public $session_handler = 'database';


    Lässt man die Session über PHP selbst laufen, schaut der Eintrag so aus...


    Code
    1. public $session_handler = 'none';


    Je nachdem was bei Dir vorhanden ist, würde ich den Eintrag entsprechend einmal ändern. Damit zwingst Du Dein Joomla einen eventuell alten Eintrag verfallen zu lassen, zumindest soweit Du das nicht eh schon direkt über die Datenbank vorgenommen hast. Aber die "configuration.php" bitte nur (!) zwingend (!) ganz wichtig (!) mit einem Editor bearbeiten der explizit (!) und absolut ausdrücklich (!) für Quelltexte (!) vorgesehen ist. ;-)


    Gruß Jan

    Möglichkeiten Schadcode zu verstecken gibt es leider viele. So lange Du die ursprüngliche Sicherheitslücke nicht gefunden hast, und definitiv alle Veränderungen nachvollziehen und Rückgängig machen konntest, ist die Geschichte quasi ein Fass ohne Boden. Wichtig ist halt, dass Du erkennen kannst was potenzieller Schadcode ist, welche Dateien etwas in dem jeweiligen Verzeichnissen zu suchen haben, also "echt" sind, sowie die Kenntnis wie man Logdateien liest und was die einzelnen Einträge zu bedeuten haben. Eine feste Anleitung / HowTo oder Liste die man einfach abarbeitet gibt es nicht. Auch wenn die Hacks meisten automatisiert vorgenommen werden, fügen die Personen die diese gehackten Seiten dann als Pakete kaufen, den Schadcode nach ihrem eigenen Geschmack und konkreten Anforderungen ein. Bei manchen ist es eine Mailer, bei anderen eine Phishing-Site, und wieder andere machen halt das Spiel mit den Weiterleitungen.


    Gruß Jan

    Könnte wirklich an der Mehrsprachigkeit liegen. Die Fehlermeldung sagt ja nichts anderes aus, als das der Server von dort nichts ausgeben werden kann. Die Adresse selbst ist aber bereits mit einem funktionierenden SSL ausgeliefert. Auch wenn es nicht die Fehlermeldung, aber nicht Dein Joomla ist. Einfach mal die Mehrsprachigkeit deaktivieren und dann schauen ob es läuft. Backup nicht vergessen.....


    Gruß Jan

    Hallo Marek


    Das hätte eigentlich auch schon von Deiner 3.6.2 aus problemlos funktionieren müssen. Wir haben hier teilweise noch ältere Projekte von (Neu)Kunden direkt über den Installer aktualisiert, die von Ihrem Hoster wegen der Sicherheitslücke angeschrieben wurden. Je nach Ausgangslage mit kleinen Zwischenschritten und das man kurz ausgeloggt wurden, aber ohne manuell irgendwo direkt eingreifen zu müssen. Ob der Fehler wirklich behoben ist, wirst Du wohl leider erst beim nächsten Update feststellen können. Experimente vorab an einem laufenden Projekt sind nicht wirklich empfehlenswert. X/


    Gruß Jan

    Hallo Marek


    Wenn es sich um ein komplexes Projekt handelt, würde ich auf jeden Fall erst einmal eine Kopie ziehen und z.B. über eine Subdomain erreichbar machen. Praktisch alle möglichen Lösungsansätze, bergen bei solchen Problemen auch ein gewisses Risiko das etwas nicht so läuft wie geplant. Musst halt nur vorab schauen, ob eventuell kostenpflichtige Erweiterungen installiert sind, die auf einer Subdomain erst einmal ihren Dienst verweigern. Dürfte in diesem Kontext aber sekundär sein.


    Läuft die Kopie würde ich testweise einen sauberen 3.6.2 Core per FTP aufspielen und dabei sehr genau auf mögliche Fehlermeldungen achten. Zum Beispiel weil Verzeichnisse oder Dateien nicht überschrieben werden konnten, weil die Rechte hierfür nicht ausreichen. Das wäre der erste Ansatzpunkt wo das Problem seinen Ursprung hat. Ist das geklärt und das 3.6.2 drauf kannst du erneut versuchen auf 3.6.4 zu springen.


    Davon unabhängig solltest du auf jeden Fall auch mögliche Hacks ausschließen. Hast du Zugriff auf z.B. den Dienst von MyJoomla könnte man einen ersten kleinen Audit laufen lassen, bei dem nach veränderten oder verdächtigen Dateien gescannt wird. Das ist aber wirklich nur ein erster Ansatzpunkt um überhaupt einen kleinen Überblick zu bekommen.


    Reissen alle Stricke, besteht immer auch die Möglichkeit ein frisches Joomla mit genau diesen Komponenten zu erstellen, dann manuell explizit und kontrolliert nur Bilder und andere "harmlose" Dateien zu übernehmen und dann die "alte" Datenbank aufzuschalten. Damit kann man aber nur Datei-Basis von Schadcode sicher bereinigen, in der Datenbank selbst lassen sich auch ein paar nette Spielereien verstecken die nicht sofort ersichtlich sind.


    Wichtig ist jetzt erste einmal das du einen Datenbestand hast, zu dem nichts Neues hinzukommt, mit dem du arbeiten kannst und der auf jeden Fall von der produktiven Seite getrennt ist.


    PS: Und auf jeden Fall auch die eigenen Rechner auf möglichen Virenbefall und Trojaner kontrollieren.


    Gruß Jan

    Hallo


    Ist da eventuell einfach nur der Speicherplatz / Webspace voll? Schau mal bitte in Deiner Kundenoberfläche. In diesem Kontext aber bitte nicht vergessen, dass bei manchen Hostern diese Daten nur alle X Stunden aktualisiert werden. Der Wert der dort erscheint, muss also nicht in Echtzeit sein. Ich würde einfach mal ein paar nicht mehr benötigte Dateien löschen und schauen ob das Log dann wieder funktioniert.


    Gruß Jan