Hackerangriff auf eine Joomla!-Site?

Liebe Joomla!-Fans und Profi-Gemeinde!

Dieser Beitrag soll über einen möglichen Hackerangriff gehen.

Aber zuerst würde ich mich gerne ein bisschen vorstellen. Ich lebe irgendwo im Regierungsbezirk Köln, und werde demnächst 52 Jahre alt. Das Computern ist reines Hobby von mir; ich habe nichts dergleichen irgendwie offiziell gelernt, sei es Lehre oder Studium oder sowas.

Am vergangenen Montag vor einer Woche wurde eine Joomla!-Website, die ich vor Jahren mal gemacht hatte, gehackt. Vermutlich.

Ich bekam nämlich eine E-Mail des Hosters mit dem Betreff „Kundenbeschwerden“. Bin erstmal ganz schön erschrocken, musste aber feststellen, dass diese E-Mail echt war. Im Support-Bereich des entsprechenden Accounts fand ich eine Meldung in ‚zartrosa‘ „Kunden-Beschwerden“. Im Ticketbeitrag war zu lesen, es habe sich ein Angreifer, wahrscheinlich über ein Joomla!-Kontakt-Modul, Zugang zu der Site verschafft und es sei ihm gelungen, PHP-Skripte zu platzieren. Nun versende die Site Spam-Mails. Der Hinweis sei von einem Dritten gekommen.

Da war ich als relativer Laie ganz schön alarmiert.

Ich hab dann zwei halbe Tage lang mit dem Hoster über Support-Ticket über die Sache geschrieben. Der Hoster hatte schon die sendmail-Funktion der Site sofort gesperrt, dafür aber nichts berechnet. Der Supporter vom Hoster war sehr nett und recherchierte zeitnah einen weiterführenden Artikel in einem Joomla!-Forum. Ich hatte auch ein bisschen was zu tun: ich schaltete die Site ab („Website ist offline – ja“), änderte das FTP-Passwort in ein noch stärkeres, und deaktivierte alle „Kontakte“-Module. Damit sei die Gefahr vielleicht erst einmal gebannt, meinte der Supporter. Er hat natürlich nix garantiert.

Die Site war regelmäßig upgedatet worden, auch gibt es Backup-Zyklen. Aber wie das ja bei Schadcode so ist, man weiß ja nicht, seit wann…

Und vielleicht noch was: Bei der Erstinstallation hatte ich „mit Beispiel-Elementen“ ausgewählt. Diese nach Fertigstellung zu löschen, überstieg meine Fähigkeiten. Vielleicht kam der Angriff darüber? „Display errors“ war aber aus.

Bei meinen anderen Joomla!-Sites habe ich dann überall dasselbe gemacht: Site aus, FTP-Passwort checken, „Kontakte“-Module deaktivieren.

Dieser Beitrag ist sowas wie ne Warnung an euch, solltet ihr sowas brauchen können.

Ich selber wäre bei Gelegenheit dankbar über nen Tipp, wie man das Backend-Passwort ändert.

So, das war’s, ich hoffe, das war jetzt nicht zu viel epische Breite.

Joomla!-Version: 3.9.19

mysql 5.7.25

Viele liebe Grüße

P.S.: Braucht ihr noch was von mir? Viel Erfolg bei allen euren Projekten!

Hallo!

XAMPP Control Panel v3.2.4

Apache 2.4.41

MariaDB 10.4.11

PHP 7.4.1 (VC15 X86 64bit thread safe) + PEAR

phpMyAdmin 4.9.2

Die MySQL-Version kann ich (noch) nicht erkennen.

Grüße, Street

Läuft!!!

Es handelte sich wohl um ein MySQL-Versionsproblem von XAMPP. Ich habe die CREATE TABLE-Befehle aus der DB herauskopiert (copy&paste) und in das SQL-Fenster von phpMyAdmin händisch eingefügt. (paste) Ausführen lassen (OK). Insgesamt 5 Tabellen mit ihren Befüllungen.

Ich konnte die Datenbank direkt vom zauberflora.de-Server ziehen. Das gleiche Problem:

Fehler

Statische Analyse:

1 Fehler wurden während der Analyse gefunden.

1. Fehlender Ausdruck. (near "ON" at position 25)

SQL-Befehl:  Bearbeiten

SET FOREIGN_KEY_CHECKS = ON;

MySQL meldet:

#2006 - MySQL server has gone away

Sonst Import okay.

Keine Tabelle viewlevels.

Hallo! Da gibt es etwas, das ich nicht verstehe:

Die entpackte Datei mysql.tar.gz ergab gestern ein File

usr_web892_1.sql, 1.751 KB groß

Die entpackte Datei mysql.tar.gz (neuer Backup) ergibt heute ein File

usr_web892_1 (ohne .sql), 4554 KB groß.

Der erneute Import (phpMyAdmin) ergibt:

Fehler

Statische Analyse:

1 Fehler wurden während der Analyse gefunden.

1. Fehlender Ausdruck. (near "ON" at position 25)

SQL-Befehl:  Bearbeiten

SET FOREIGN_KEY_CHECKS = ON;

MySQL meldet:

#2006 - MySQL server has gone away

Der MySQL-Server ist nicht "away".

Habe dann nochmal die alte importiert - funktioniert, bis auf die fehlende Tabelle "viewlevels".

Grüße, Streethawk68

In dieser Datei taucht der String "viewlevels" 10x auf. Du kannst den Fehler jetzt auch sehen auf

http://astra-inveno.de/Bereich01/

Grüße, Streethawk68

Nein, ich weiß nicht, wie ich zu der Textdatei (SQL) komme. Das Entpacken ergibt nur die Datei usr_web892_1.sql.

Hallo! Die Datei mysql.tar.gz ist nur 1.493 KB groß.

Hallo! Der Hoster ist Alfahosting und bietet eine Backup-Option. Die Datenbank stammt aus dem Backup-File mysql.tar.gz. Ich habe sie lokal entpackt und über phpMyAdmin habe ich sie importiert.

Grüße

Hallo!

Nein, die Tabelle "viewlevels" gibt es nicht in der Datenbank. Sollte ich verabsäumt haben, das zu erwähnen, bitte ich im Entschuldigung.

Grüße, Street

Hallo!

Ich habe die htaccess.txt in .htaccess umbenannt. Das hat keinen Einfluss.

Grüße Streethawk68

Hallo!

Keine .htaccess im Einsatz. Lediglich eine htaccess.txt liegt im Hauptverzeichnis.

Grüße

Streethawk68

Hallo!

Genauso ist es. An den Tabellen ist nichts Auffälliges festzustellen. Ja, die Datenbank heißt usr_web892_1.

LG Street

Hallo!

Das hat bis zu einem gewissen Grad ganz prima funktioniert, danke. Ich bin jetzt schonmal so weit, dass der Titel der Seite und die korrekte Farbe angezeigt wird. Jedoch wird auch noch angezeigt:

The requested page can't be found.

An error has occurred while processing your request.

You may not be able to visit this page because of:

• an out-of-date bookmark/favourite
• a mistyped address
• a engine that has an out-of-date listing for this site
• you have no access to this page

Error: Table 'usr_web892_1.#__viewlevels' doesn't exist: Table 'usr_web892_1.#__viewlevels' doesn't exist

Ich habe schon

public $sef = '0';

public $sef_rewrite = '0';

gesetzt und die Kollation der DB geändert, beides ohne Erfolg.

Was ist hier zu tun?

LG Street

Hallo!

Ich habe das gleiche Problem:

Warning: session_start(): Failed to read session data: user (path: C:\xampp\tmp) in C:\xampp\htdocs\zauberflora\Bereich01\libraries\joomla\session\handler\native.php on line 260

Error: Failed to start application: Failed to start the session

Ich finde in der configuration.php 2 Passwort-Einträge:

public $password =

und

public $secret =

Ist eines davon oder sind beide das Datenbankpasswort?

LG Streethawk68

Hi!

Ich möchte insgesamt, so wie früher, nur genau 1 Erinnerungs-E-Mail bekommen, nicht alle 24 Stunde eine; lässt sich das bewerkstelligen?

Grüße

Streethawk68

Hallo Re:Later!

Du hast geschrieben:

Zitat von Re:Later

Unter Erweiterungen > Verwalten > optionen-Button > Zeit einstellen.

Was denn für eine Zeit? Meinst du "Aktualisierungs-Zwischenspeicher (in Stunden)"? Und was soll das bringen dahingehend, dass Joomla nicht permanent Erinnerungen versendet?

Grüße

Streethawk68

Hallo Nutzer!

Wenn eine neue Joomla-Version zur Verfügung steht, bin ich es gewohnt, dass an meine im CMS hinterlegte E-Mail-Adresse eine Nachricht verschickt wird. Seit einigen Tagen ist es aber so, dass zwei meiner Joomla-Präsenzen gefühlt alle drei bis sechs Stunden eine solche E-Mail versenden. Zig sind schon davon in meinem Posteingang. Kennt ihr dieses Phänomen? Ist das ein bekannter Bug? Oder habe ich etwas falsch konfiguriert? Der Text dieser E-Mails ist der übliche:

Zitat

Diese E-Mail WIRD NICHT von joomla.org gesendet. Sie wird automatisch durch die nachfolgende Website verschickt: ... Die Website hat festgestellt, dass eine aktualisierte Version für Joomla! zur Verfügung steht. Aktuell installierte
Joomla!-Version: 3.9.13 Zur Installation verfügbare Joomla-Version: 3.9.14. Diese E-Mail soll nur über die Verfügbarkeit der Aktualisierung informieren. Sie wird automatisch von der Website versendet. Das Joomla!-Projekt hat keinen
Zugriff auf die hinterlegte E-Mail-Adresse und versendet daher auch keine E-Mails.

Erbitte hilfreiche Tipps.

Grüße

Streethawk68

Hallo!

Eine der von mir betreuten Joomla!-Präsenzen meldet:

Zitat

Es ist bereits die aktuellste Joomla!-Version 3.9.8 installiert

Dafür habe ich keine Erklärung, könnt ihr mir helfen?

LG

Streethawk68

Hallo Axel,

bitte entnimm beigefügtem Screenshot, dass ich wohl ein englisches Seblod installiert habe. Wie kann ich es deinstallieren und ein deutsches installieren?

MfG

Streethawk68

Auch habe ich keinen Editor... (2. Bild)