Bitte dringend um Hilfe: Drupal 7 Seite funktioniert von jetzt auf gleich nicht mehr
Eingetragen von Rikibu (257)am 30.05.2018 - 10:41 Uhr in
Hallo Leute,
ich bin tierisch verzweifelt.
unsere Webseite läuft seit einigen Jahren problemlos mit Drupal 7 (stets letztes update nebst updates der Module).
Heute bekomme ich nur noch ein "Access denied" wenn ich auf die Seite gehe, obwohl ich nichts an der Seite geändert habe.
ein DB Backup zurück zu spielen (mysqldumper) hat das Problem nicht behoben.
Ich bitte ganz dringend um eure Hilfe, weil ich absolut nicht weiß wo ich ansetzen soll.
Vielen Dank.
Update
Was ich bereits rausgefunden habe
- erstelle ich ein neues Unterverzeichnis, und packe da D7 install Files rein, kann ich normal installieren und aufrufen.
- ergo muss die Access Denied Sache in irgend ner .htaccess hängen?
- versuche ich aus dem Rootverzeichnis /install aufzurufen, erkennt drupal dass es bereits installiert ist.
- Auch die Datenbank scheint erstmal inhaltlich vollständig, soweit ich das sagen kann.
- Anmelden oder Registrieren um Kommentare zu schreiben
Frische Install + DB Export +
am 30.05.2018 - 16:36 Uhr
Frische Install
+ DB Export
+ Sites
Verzeichnis auf Entwicklungsserver
Wenn da alles gut ist, dann schmeiß einfach den Core neu drauf und ändere die Zugangsdaten in der Settings.php des Live-Servers wieder ab.
Eventuell habt Ihr vergessen die beiden Sicherheitspatches aus den vergangenen 2 Monaten einzuspielen und habt deshalb eine kaputte Seite Die oben genannte Methode ist die einfachste. Wenn du es ganz Schnell möchtest, richtest du dir für die Zukunft noch zwei Drush Aliases con der Entwiclungsumgebung auf den Live-Server und umgekehrt ein uund hast damit immer die Möglichkeit bei Problemen zu reagieren.
Hallo dinmikkith habe
am 30.05.2018 - 17:59 Uhr
Hallo dinmikkith
habe inzwischen rausgefunden, was passiert ist.
Wir verschicken Mails als Benachrichtigung für Interessenten, immer dann wenn etwas neues auf unserer Seite gepublished wird.
Diese Mailbenachrichtigung hat unser Hoster 1&1 irgendwie als Angriff deklariert, weshalb sie die index.php auf Berechtigung 200 gesetzt haben - ohne vorher mal Bescheid zu geben.
Jetzt muss ich natürlich mal beobachten, in wie weit die Benachrichtigung (derzeit 18 Interessenten - also weit weg von Massenmail) zukünftig probleme macht.
2 Dinge könnten helfen: 1.
am 30.05.2018 - 18:36 Uhr
2 Dinge könnten helfen:
1. https://www.drupal.org/project/smtp
2. Den Hoster anweisen das Limit hochzusetzen
Mein Hoster stoppt solche Aktionen immer nur beim ersten Versuch, um eine Spam Attacke zu vermeiden.
Dann melde ich mich dort kurz und es wird freigeschaltet und als nicht Spam deklariert.
Auch bei mir würde der Versand schon bei glaube 10 oder 15 Mails gestoppt werden.
Allerdings bleibt die Seite natürlich online, lediglich der Versand findet nicht statt, was dein Hoster macht finde ich schon sehr frech...
Grüße Jenna
Hallo Jenna, wie gesagt, sehr
am 31.05.2018 - 06:03 Uhr
Hallo Jenna,
wie gesagt, sehr abstruser Vorgang. Die Seite ist in ihrer Funktionalität seit 3 Jahren faktisch unverändert, bis auf minimale Kleinigkeiten.
Der hoster behauptet, es hätte um Mitternacht eine Manipulation an der index.php gegeben, die ich aber ausgehend vom FTP Zeitstempel nicht bestätigen kann. Dieser hat genau wie die Dateien aus der letzten Update Session von Drupal (also cms selbst) den selben Zeitstempel.
Schreibrechte hat die index.php auch nicht.
Wie sollte also die Manipulation, so sie denn tatsächlich stattfand, stattgefunden haben?
FTP Zugangsdaten hab ich vorsorglich mal geändert.
index.php hat Berechtigungen 444 - sollte ja ok sein
Irgendwie ein seltsamer Vorgang
"Diese Mailbenachrichtigung
am 31.05.2018 - 08:44 Uhr
"Diese Mailbenachrichtigung hat unser Hoster 1&1 irgendwie als Angriff deklariert, weshalb sie die index.php auf Berechtigung 200 gesetzt haben - ohne vorher mal Bescheid zu geben."
Das Verhalten kenne ich so nicht von 1&1 (habe zahlreiche Kunden dort, selbst nutze ich den Hoster nicht).
Es wird immer sofort eine Email verschickt, wenn die Berechtigung der index.php verändert wurde.
Das weiß ich deshalb so genau, weil das letzte Sicherheitsproblem mit gehackten D7 Seiten mir einige neue Kunden gebracht hat, wo genau das der Fall war.
Bist Du ganz sicher, dass wirklich das letzte Update (bzw. waren ja zwei) eingespielt wurde?
Wegen 15 Mails sollte ein Hoster eigentlich nicht die Webseite sperren.
Es gibt einen Ordner logs und darin forensic (oder so ähnlich, habe gerade von Unterwegs keinen Zugriff auf eine 1&1 Seite), wo genau geloggt wurde, welche Sicherheitsprobleme festgestellt wurden.
Da solltest Du auch Aufschluss über die angebliche Manipulation der index.php bekommen.
Hi, welche D7 Version hat
am 01.06.2018 - 09:41 Uhr
Hi,
welche D7 Version hat denn Webseite?
Wenn die nicht zeitnah upgedated wurde, dann ziemlich sicher
ein erfolgreicher Angriff stattgefunden.
MfG
Robert
v7.59 vom Ende April. was
am 01.06.2018 - 12:13 Uhr
v7.59 vom Ende April. was neueers gibts ja nicht...
Das kommt darauf an, wann die
am 01.06.2018 - 13:12 Uhr
Das kommt darauf an, wann die draufgespielt wurde! ;-)
Wenn der Hoster die Seite
am 02.06.2018 - 08:42 Uhr
Wenn der Hoster die Seite gesperrt hat, dann hat er sie auch als Malware identifiziert. Also ich würde ja schlicht ein Backup von der Datenbank und vom Sites-Verzeichnis machen und dann meine Seite neu zusammenbauen, Aber ich wiederhole mich schon wieder :-.) Mit einem frischen Core dürfte die Maleware auf jeden Fall raus sein. Ich würde noch das verwendete Theme prüfen, bevor ich die Seite wieder online gehen lasse,
Mit einem frischen Core
am 02.06.2018 - 10:02 Uhr
Mit einem frischen Core dürfte die Maleware auf jeden Fall raus seinNicht unbedingt.
Kann auch eine Backdoor in der Datenbank sein.
Auf jeden Fall kontrollieren, ob ein User angelegt wurde, ect.
https://www.bleepingcomputer.com/news/security/drupalgeddon-2-vulnerabil...