Thema: Frage zur Sicherheit bzw. Analyse

Alle Möglichkeiten, wie ein Hacker "hereinkommt", hier aufzuzählen, ist wohl unmöglich. Jede Liste ist unvollständig, da sich "Hacker" immer neue Wege suchen. Generell sind es aber oft solche URL's, in denen andere Parameter vorkommen, als die, die durch Deine Menüs, Module und Komponenten erzeugt werden. Oft kommen dann auch fremde Domains vor, über die Schadcode geladen werden soll nach dem Muster index.php?doexample=evil.site/evil.php.
Viel wichtiger als die Suche nach solchen "Strings" ist die Absicherung der Joomlainstallation gegen Einbrüche, da die Suche nach solchen Hackversuchen sehr zeitaufwändig sein kann. Diese Zeit kann man besser zur Absicherung nutzen. Dazu gibt es zahlreiche Informationen im Netz und hier im Forum. Die wichtigsten Dinge sind:
1. gute Passwörter. wie z. B. hkjh9uHJK - Admin, Test, Hund usw. gehören nicht zu den sicheren Passwörtern
2. Immer aktuelle Erweiterungen nutzen (Und so wenige wie möglich)
3. Nur die niedrigst nötigen Datei- und Verzeichnisrechte vergeben - 755 für Verzeichnisse und 644 für Dateien sind zu empfehlen, 777 ist fast ein Garant, dass man gehackt wird.
4. Evt. Schutz des Backends mit .htaccess
Das ist hier nur die Kurzform, ausführliche Infos im Sichereitsforum.

Wie ich schon schrieb, alle Ordner auf 755, Dateien auf 644. Der images Ordern ist auch nur ein Ordner unter vielen ;-) Falls es damit zu Problemen kommt, melde Dich noch mal. Zur info kannst Du auch diesen Beitrag noch lesen.

Oder war die Frage etwa so gemeint, wie Du vorgehen musst, um die Rechte einzustellen? In der Regel gibt es im FTP Programm dafür eine Möglichkeit. In Filezilla rechte Maustaste auf Datei oder Verzeichniss, dann Dateiattribute, dort kann man es einstellen.

Zitat von adrianomath

Was ist wichtig bzw. auf was muss ich schauen?
DANKE

also mit den Verzeichnis Rechten bin ich mir etwas unklar, bei mir müssen die auf 777 stehen. ( J1.5)

Klar ist das du die configuration.php im Root Verzeichnis auf jeden Fall nach dem Einrichten auf 444/644 stellen solltest.
wenn dein Hoster den mod_rewrite unterstützt dann ( nur dann ) die htaccess.text Datei ( im Root) in .htaccess umbenennen.
Und klar ist das dein Admin Log in Name ( anfangs admin ) bei Benutzer geändert werden sollte. Wie gesagt gute Passwörter sind min 8 stellig mit Groß und Kleinschreibung, Zahlen und Sonderzeichen. Du kannst auch wenn du vergesslich bist ein Gedicht oder liedstrophe nehmen und immer die ersten 2 Buchstaben der Wörter nehmen.



gruß


flockerl

@flockerl
Dateirechte dürfen NIEMALS auf 777 stehen, Ordner 755 und Dateien 644. Mehr Rechte brauchen die nicht. Falls es bei deinem Webhoster nicht anders geht leidest du unter dem wwwrun Problem(Forumsuche nutzen) abhilfe schafft hier die FTP-Funktion oder zu einem vernünftigen Webhoster wechseln.

Die htaccess wird dann benötigt falls du SEO-URL´s aktiviert hast und dein Webhoster mod_rewrite unterstützt, dies hat mit der Sicherheit aber nichts zu tun.

Zitat von Derroylo

Die htaccess wird dann benötigt falls du SEO-URL´s aktiviert hast und dein Webhoster mod_rewrite unterstützt, dies hat mit der Sicherheit aber nichts zu tun.

Ist nicht ganz richtig... ich zitiere mal aus der .htaccess:

Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!

sprich: man sollte die .htaccess auch verwenden, wenn man keine SEFlinks hat (mod_rewrite muss natürlich trotzdem geladen sein..)

Sehr wichtig !!!
man muss in der Lage sein .htaccess und htaccess.txt von einander zu unterscheiden

Zitat von elkuku

Ist nicht ganz richtig... ich zitiere mal aus der .htaccess:

Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!

sprich: man sollte die .htaccess auch verwenden, wenn man keine SEFlinks hat (mod_rewrite muss natürlich trotzdem geladen sein..)

Hmmm, wobei ich der Meinung bin, daß diese Einträge allenfalls kosmetischen Charakter haben. Normalerweise sollte das der Hoster (schon aus Eigeninteresse) mit seinen Servereinstellungen abbügeln.