Liebe ExpertInnen,
auf einem Server liegen 2 Joomla-Anwendungen (Joomla in der aktuellen Version, PHP 7.2) und ein Datenpool. Der Provider stellt nun eine Nachricht ein, die Site wäre unsicher und würde angegriffen, zuletzt 7813 mal. Heute schaue ich nochmal nach und finde die Meldung nicht wieder, die interne Prüfung des Providers per Sitelock zeigt ein geringes Risiko. Muss ich davon ausgehen, dass die gestrige Nachricht lediglich der Verkaufsförderung von Sitelock diente?
Dank & Gruß
Ralf
Welches Betriebssystem? Wann zuletzt Sicherheitsupdates eingespielt?
Nachdem die Seite bei einem Provider gehostet ist, wird wohl der Themenersteller die Frage nach den Sicherheitsupdates in Bezug auf das Betriebssystem nicht beantworten können.
@drambeldier: Hast Du schon mal überprüft, ob alle verwendeten Erweiterungen / Addons in Joomla auf dem aktuellen Stand sind? Hast Du eventuell etwas selber programmiert?
Ob es gestern 7813 Angriffe gab und welcher Art diese Waren, solltest Du normalerweise über die Protokolldaten des Webservers herausfinden können. Wenn man nur 7813 mal versucht hat, sich einzuloggen, dann würde ich das ganz entspannt sehen. Es ist normal, dass „Skript-Kiddies“ versuchen, sich auf Seiten anzumelden. Wichtig ist hier, dass Dein „Superuser“ nicht einen Standard-Namen wie admin oder Ähnliches hat und das Passwort auch eine gewisse Komplexität hat.
Schönes Wochenende
„Mein Server“ steht bei einem Provider. Verantwortlich für alles bin ich.
Moin,
Joomla ist auf dem neuesten Stand, Erweiterungen ebenso.
Wie werden Angriffe eigentlich festgestellt? Server ist garantiert einbruchsicher, Passphrase ist 20 Stellen lang, mit lexikalischer Analyse ist nichts zu wollen. Bei Joomla sind wir nur 2 User, und wozu sich jemand bei uns als Admin einschleichen wollen sollte, wäre mir ein Rätsel. Um uns als Mailserver zu kapern? Mein Joomla mailt nicht.
Gruß
Ralf
und wozu sich jemand bei uns als Admin einschleichen wollen sollte
Um Deinen Server zu missbrauchen … das ist Ziel eines jeden Hacks …
Mein Joomla mailt nicht.
Aber es ist wohl ein sendmail oder Ähnliches auf Deinem Server installiert? Und die PHP-Funktion „mail“ gibt es wohl auch, oder?
Was sagt denn eine Analyse der Logfiles? Wenn es Dein Server ist, dann kannst Du die doch auswerten?!
Läuft bei Dir ein HIDS oder eine WAF?
Das weiß wohl nur der Provider.
Logfiles muss ich suchen gehn, melde mich morgen nochmal.
Gruß
Ralf
Ich schließe aus Deiner Antwort, dass es sich um ein „managed hosting“ handelt. Ihr seid also nicht selbst Administratoren Eures Servers sondern nur von Eurer Joomla-Installation.
Ist das so korrekt?
Es gibt Tools, die die Zugriffe auf Deine Webseite analysieren wie z.B. Webalizer … Damit könntest Du herausfinden, wann besonders viele Zugriffe auf die Seite durchgeführt wurden und damit vielleicht schneller herausfinden, was gemacht wurde.
Eine Liste von Tools hat z.B. auch Heise:
https://www.heise.de/download/products/netzwerk/analyse-tools#?cat=netzwerk%2Fanalyse-tools
Danke, ich schau mir die Tools mal an.
Gruß
Ralf
Wie ist den die IP?
Solange es kein dedizierter selbst-administrierter Server ist und die Einwilligung des Providers und Admins vorliegt, könnte ein Pentest strafbar sein … 