Neuaufbau einer gehackten Seite 4.8.12

[hohorstmann]

Hallo,
Nachdem eine Seite gehacked wurde, habe ich nach vielem Hin und Her die alte Version heruntergeladen (Release: 4.8.12) und nochmals in einem separaten Verzeichnis auf meinem Webspace installiert. Dann habe ich mir gedacht, dass ich in der entsprechenden config.sys der „Neuinstallation“ die „alte“ Datenbank einstellen könnte, was auch geklappt hat.
Images, css etc. habe ich manuell vom „alten“ Webspace auf den neuen kopiert.

Ich kann mich im „neuen“ Backend einloggen und sehe die Kategorien und die darin enthaltenen Artikel, allerdings nur in der Übersicht. Sobald ich einen Artikel anklicke erscheint die folgende Warning:

Warning: include_once(/homepages/7/dxxxxxxx/htdocs/cms/includes/functions.navigation.php) [function.include-once]: failed to open stream: Permission denied in /homepages/7/dxxxxxxx/htdocs/2013-01-16 Contenido 4.8.12/contenido/includes/api/functions.api.general.php on line 189

Diese Fehlermeldung erscheint ebenso wenn ich den Frontend aufrufe http://www.neu.elektro-breilmann.de

Gibt es da jemanden, der mir seine Hilfe anbieten kann?

Gruß, Ho

[Oldperl]

Hallo Ho,

hast du das Setup drüber laufen lassen? Das hört sich so an als wenn da die Dateirechte nicht korrekt gesetzt sind.

Gruß aus Franken

Ortwin

[Oldperl]

Oh, was ich gerade sehe, ist das ein Linux-basierter Server? Du hast nämlich offensichtlich Leerzeichen in den Pfadnamen und damit kann Linux nun mal nix anfangen.

Warning: include_once(/homepages/7/dxxxxxxx/htdocs/cms/includes/functions.navigation.php) [function.include-once]: failed to open stream: Permission denied in /homepages/7/dxxxxxxx/htdocs/2013-01-16 Contenido 4.8.12/contenido/includes/api/functions.api.general.php on line 189

Gruß aus Franken

Ortwin

[hohorstmann]

Hallo Oldperl,

das ist ein 1&1-Server und der läuft bestimmt unter Linux.
Ich habe den Pfadnamen geändert und melde mich dann.

Gruß, Ho

[xmurrix]

Hallo hohorstmann,

ich würde ein Update auf 4.8.18 empfehlen, seit der 4.8.12 wurden viele Bugs gefixt, unter anderem auch Sicherheitsrelevante.

Gruß
xmurrix

[hohorstmann]

Hallo xmurrix,

das wollte ich auch machen, wenn der Fehler beseitigt ist.

Danke

[hohorstmann]

Hallo,

irgendwo steckt noch der alte Pfadnamen drin. Deswegen der Fehler:

Warning: opendir(/homepages/7/dxxxxxx/htdocs/2013-01-16 Contenido 4.8.12/contenido/locale/) [function.opendir]: failed to open dir: No such file or directory in /homepages/7/dxxxxxx/htdocs/2013-01-16_Contenido_4.8.12/contenido/includes/startup.php on line 74

Warning: readdir(): supplied argument is not a valid Directory resource in /homepages/7/dxxxxxx/htdocs/2013-01-16_Contenido_4.8.12/contenido/includes/startup.php on line 76

Fatal error: Error: Can't include /homepages/7/dxxxxxx/htdocs/2013-01-16 Contenido 4.8.12/contenido/includes/cfg_sql.inc.php in /homepages/7/dxxxxxx/htdocs/2013-01-16_Contenido_4.8.12/contenido/includes/api/functions.api.general.php on line 181

Wo muss ich den noch anpassen?

[xmurrix]

...irgendwo steckt noch der alte Pfadnamen drin. Deswegen der Fehler...

Ich würde in der "contenido/includes/config.php" nachsehen, darin sind die wichtigsten Pfadangaben für das Backend angegeben. Wenn PHP keine Schreibrechte auf die Datei "contenido/includes/config.php" hat, kann es wohlmöglich passieren, dass die Datei beim Migrieren nicht aktualisiert werden kann. Ich weiß nicht, wie das Setup von 4.8.12 darauf reagiert, aber in der neuesten Version sollte es einen Hinweis geben, wenn die Schreibrechte nicht ausreichend sind.

Sichereheitshalber auch die Pfade des Mandanten prüfen, entweder über das Backend oder in der Tabelle con_clients (sofern con_ das Präfix bei dir ist).

Ich würde auch die Schreibrechte, die für gewisse Verzeichnisse/Dateien nötig sind (steht in der readme.txt), nochmals prüfen.

Gruß
xmurrix

[Spider IT]

Ich weiß nicht, wie das Setup von 4.8.12 darauf reagiert, ...

Schon seit ewiger Zeit (auf jeden Fall schon Contenido 4.6) wird die config.php zum Download angeboten wenn sie nicht vom Setup geschrieben werden kann.

Gruß
René

[xmurrix]

...Schon seit ewiger Zeit (auf jeden Fall schon Contenido 4.6) wird die config.php zum Download angeboten wenn sie nicht vom Setup geschrieben werden kann...

Danke für die Info!

[hohorstmann]

Hallo zusammen,
so, jetzt bin ich schon einen Schritt weiter.
Pfadnamen in config geändert, Rechte neu gesetzt (aber keine Rechte in Unterverezichnissen verändert); con_clients geändert,

Durch den Aufruf http://neu.elektro-breilmann.de kann ich, wenn auch noch unformatiert, die Startseite sehen. Das ist jetzt kein Problem für mich.
Versuche ich jedoch auf eine Navi zu klicken, kommt noch eine Fehlermeldung: Server nicht gefunden, obwohl die URL so aussieht:
http://neu.www.elektro-breilmann.de/cms ... p?idcat=77

Habt ihr eine Idee?

[xmurrix]

Cookies im Browser löschen oder die Session-Tabelle "con_phplib_active_sessions" leeren (nicht löschen)

[hohorstmann]

Hallo,

wieder einen Schritt weiter:

Jetzt kann ich auch im Backend meine Artikel sehen, wenn auch unformatiert, aber das ist ja klar.
Ich kann diese sogar editieren.

Aber im Frontend läuft die Navi immer noch auf den selben Fehler ... Server nicht gefunden

Ich grüble nochmal weiter ..

[xmurrix]

Tabelle "con_code" leeren, nicht löschen!

[xmurrix]

Eigentlich gibt es ja das Setup, das man mit der Migrations-Option ausführen kann. Dies übernimmt einem die einzelnen Arbeiten, die hier nötig waren, wie z. B.

• Ändern der contenido/includes/config.php
• Ändern der Pfade des Mandanten in der Tabelle con_clients
• Leeren der Tabelle "con_code"
• Leeren der Tabelle "con_phplib_active_sessions"

Vermutlich ist es besser, wenn man das nächste Mal einfach das Setup mit Migrations-Option ausführt