Kurze Einschätzung benötigt

[Halvor]

Hallo zusammen,

ich habe wenig bis keine Ahnung von Contao, daher bräuchte ich eure Hilfe.
Meine Freundin hat sich vor ein paar Monaten eine Website mit Contao von einem professionellem Unternehmen erstellen lassen, und bis jetzt hat auch alles wunderbar funktioniert.

Vor ungefähr einem halben Monat war dann "die Galerie komplett anders und der Slider auf der Startseite ist weg".
Das hat Sie dann von selbigem Unternehmen beheben lassen.

Nach deren Aussage gab es einen Hackerangriff auf die Server von Contao, auf dem die Galerei liegt. Stimmt das? Ich hab nichts dazu finden können.
Und laut deren Aussage "mussten zwei Daten geändert werden und ein Pfad neu angelegt werden" - dafür wurden 3,5h veranschlagt.
Das kommt mir - als Mensch ohne Ahnung von Contao wohlgemerkt -viel zu viel vor.

Vielleicht könnt Ihr mir sagen, ob die Arbeitszeit angemessen ist oder ob Ihr, die Ihr ja Ahnung von dem Programm habt, der Meinung seid, dass das schneller gehen müsste.


Und falls sich wer ein bisschen mit dem Recht diesbezüglich auskennt:
Warum muss ich bei einem Hackerangriff auf einen Server, der mir nicht gehört, die Rechnung zahlen? Ist das Unternehmen gegen sowas normalerweise nicht versichert?

Danke für eure Zeit

[Samson1964]

Das Deine Website sicher ist, dafür musst Du selbst sorgen. Du machst Dich sogar strafbar, wenn Deine Website als Ausgangspunkt für Angriffe auf andere Webseiten genutzt wird. Deshalb immer schauen, ob noch alles in Ordnung ist und ggfs. mit einer lokalen Kopie Deiner Website vergleichen.
Dein Hoster unterstützt Dich nur z.B. mit Scans auf verdächtige Dateien. Bzgl. Contao solltest Du immer die aktuellste Version installiert haben.

Gesendet von meinem L52 mit Tapatalk

[Stefko]

Ahoi,

der Fehler ist bekannt, allerdings wurde nicht ein "Contao-Server" gehackt, sondern ein Server (CDN) auf dem u.a. eine vom Slider verwendete jQuery-Datei lag.
Wird wahrscheinlich das hier sein.
Dieses jQ wird im Seitenlayout eingebunden, dort hat man die Wahl (DropDown) ob man die Datei von seiner eigenen Installation (die ist dort auch dabei) oder von dem CDN-Server (nur dieser war kompromittiert) verwenden möchte.
Man musste also im Seitenlayout auf "jQuery-Quelle: lokal" umstellen und das wars. Evtl. ist zB. in der fe_page.html5 noch der Pfad fest eingegeben, dann ändert man dort kurz den Quellcode.
Ich habe das selbst mehrfach gemacht in den letzten Wochen und halte persönlich alles über 1std als unseriös, zumal Du ja selbst zitiertest: "zwei Daten geändert werden und ein Pfad neu angelegt werden"
Das sollte wirklich in unter 20 min erledigt sein

[lucina]

Das wäre mir zu global um das korrekt einschätzen zu können. Ich verstehe jetzt aber auch nicht vollständig, auf wessen Server das ganze gelegen hat, dabei wäre das ja ein zentraler Aspekt, um zu klären, in wessen Zuständigkeit ein Angriffsszenario bzw. die Abwehr desselben liegt.

Grundsätzlich muss man schon etwas falsch machen, wenn ein Contao-System gehackt werden kann. Sicherheitslücken empfinde ich im Vergleich zu anderen PHP-basierten Systemen als extrem selten, und die werden auch zügig behoben, so sie denn mal auftreten.

Mich erinnert das allerdings eher an ein anderes Szenario: Einige kommerzielle Themes hatten eine Javascript-Datei (JQuerytools ...) eingebunden, und deren Server war plötzlich verschwunden (da hiess es 'aufgrund eines Hackerangriffes'), so dass Scripte (beispielsweise für Galerien oder Slider) nicht mehr gelaufen sind. Einer meiner Kunden hatte sich mit so einem Theme eine Seite selbst gebaut und dabei dieses Problem. Ich habe das innerhalb von 10 Minuten behoben. Insofern - wenn es das war - fände ich dreieinhalb Stunden in diesem Kontext doch eher überzogen.

Grundsätzlich kann man auch fragen, ob die Einbindung von Komponenten via externer Webseiten im Sinne des Erfinders und nach den Regeln der Kunst ist. Allein schon aus Datenschutzgründen finde ich das im innereuropäischen Rechtsraum problematisch, weil damit Benutzerdaten möglicherweise ohne Einwilligung nach Timbuktu geladen werden. Justiziabel wäre das wohl nur unter bestimmten Bedingungen, zu denen Dir ein Fachanwalt oder eine Fachanwältin sicher eine Auskunft geben kann,

[tab]

Vermutlich war es das selbe Problem wie hier:
https://community.contao.org/de/show...l=1#post459682
Die Auflösung des Rätsels steht hier:
https://support.premium-contao-theme...tioniert-nicht
Es wurde also nicht etwa der Server gehackt auf dem die Website deiner Freundin liegt (und damit auch Contao bzw die Galerie), sondern der Server, von dem jQuery heruntergeladen wurde. Dieser Server wurde daraufhin erst einmal stillgelegt. Mit Contao selbst hat er erst einmal nichts zu tun. Im Endeffekt ist die Lösung des Problems einfach. Entweder die externe URL für den jQuery-Download ändern, wie auch im zweiten Link beschrieben. Das hat der Ersteller der Website offenbar getan. Oder man benutzt gleich die "lokale" Bibliothek, die Contao sowieso mitbringt. Das halte ich sowieso für die bessere Idee. Beide Lösungen nehmen rein technisch sicher nicht mehr als 15 Minuten in Anspruch. Natürlich muss man das Problem aber erst einmal erkennen. Je nachdem, wie systematisch (professionell ) oder konfus man dabei vorgeht, sollte aber auch das keine 3 Stunden in Anspruch nehmen. Ein Blick in die Entwicklertools des Browsers sollte da eigentlich schnell zum Erfolg führen. Insofern halte ich - ohne die näheren Umstände zu kennen - 3,5 Stunden Arbeitszeit auch für etwas übertrieben, falls es sich tatsächlich um das in den obenstehenden Links beschriebene Problem handelt.

Edit: @lucina hat Recht, es handelt sich um die jQuery Tools, nicht um die jQuery Bibliothek selbst. Die bringt Contao meines Wissens nicht mit, die müssen also von extern geladen werden, oder eben auf den lokalen Server kopiert und dann von dort geladen werden. An der Zeiteinschätzung ändert sich dadurch allerdings auch nicht viel.

[mlweb]

Und falls sich wer ein bisschen mit dem Recht diesbezüglich auskennt:
Warum muss ich bei einem Hackerangriff auf einen Server, der mir nicht gehört, die Rechnung zahlen? Ist das Unternehmen gegen sowas normalerweise nicht versichert?

Zusätzlich zum bereits genannten möchte ich noch anmerken, dass Contao und auch jquery Open Source Projekte sind. Da gibt es keine Firma die dahinter steht.
Ganz grob gesehen kannst Du Open Source (also in dem Fall Contao selbst) kostenfrei nutzen. Dafür ist der Einsatz selbiger aber m.E. weitestgehend auf eigene Gefahr.

[Halvor]

Schon mal danke an alle, die mir so fix geantwortet haben!

Um mal kurz zusammenzufassen:

Das jQuery hätte die Firma von Anfang an lokal laden sollen, dann hätte es das Problem nicht gegeben.
Die Bearbeitung durch eine professionelle Firma hätte keine 3h dauern dürfen, auch wenn man am Anfang nicht wusste, wo genau das Problem liegt.

Ist das so richtig?
Dann kann ich jetzt zumindest erklären, warum mir 3h zu viel erscheinen.

[07alex07]

Du könntest ja den Anbieter mal fragen wie sich die 3,5 Stunden genau zusammensetzen.

[MacKP]

Hmm ich finde es sehr schwierig hier die Arbeit von anderen in der Art zu beurteilen.
An sich ist es so, dass es durchaus auch Sinn macht Dateien per CDN zu laden: Wenn die Besucher schon mal auf einer Seite waren, wo diese geladen wurden, dann sind die schon vorhanden. Und solche CDN sind in der Regel auch so ausgelegt, dass die Dateien möglich schnell geladen werden. Natürlich gibt es auch Gründe die Dateien lokal vorliegen zu haben. Es ist eben immer eine Abwägung.
Das es nun zu so einem Problem gekommen ist, war einfach Pech. Zustätzlich ist nicht immer sofort bekannt, dass es dieses Problem gerade gibt. Da kann man sich dann auch schon mal dumm und dämlich suchen und eventuell auch eine Firewall in Verdacht haben oder sonst was.
Natürlich kann man dann mal fragen, ob die Bearbeitung deswegen so lange gedauert hat (wenn es überhaupt daran gelegen hat, das weiß hier ja keiner wirklich) oder was die Gründe sind.

Abschließend kann ich nur sagen: Einfach mal offen das Unternehmen ansprechen. Dieser Foreneintrag sorgt auf jeden Fall nicht für ein Gespräch auf gleicher höhe, da das Unternehmen sich ziemlich in die Defensive gedrängt fühlen wird, wenn die direkt damit konfrontiert werden. Das sorgt zumindest in der Regel nicht für ein Konstruktives Gespräch.

Viele Grüße

[Halvor]

Kurzes Update meinerseits:

Das Unternehmen schreibt jetzt, dass Sie davon ausgegangen sind, dass meine Freundin etwas umgestellt hat und daher zuerst nach Fehlern im Backend bzw. in den Einstellungen gesucht hat.
Die meiste Zeit ist für Fehlersuche draufgegangen.

Hat Contao eine Info über den Hackerangriff rausgegeben oder wie ist das öffentlich geworden?
Der Link von Stefko war ja auf den 08.01.2017 datiert. Der Angriff ist aber schon fast nen Monat her...

@MacKP
Auf gleicher Höhe kann ich das Gespräch ohnehin nicht führen, da mir dafür schlichtweg die Programmierkenntnisse bzw. die Contao-spezifischen Kenntnisse fehlen.
Ich hab BWL studiert und bin kein Informatiker. Ich hab zwar ein bisschen Ahnung, aber bei weitem nicht genug, um ein Gespräch über Contao zu führen.
Mir geht es hier primär darum, dass ich verstehe, was das Problem war, und damit dann auch einigermaßen argumentieren kann.

[lucina]

Nö, Contao hat da sicher keine Information herausgegeben, sondern der Themeanbieter, der ja bereits verlinkt wurde. Das war kein Problem von Contao. Zusätzlich schlugen hier einige Menschen im Forum auf, so dass eigentlich recht schnell klar war, woran das lag.

Fehlersuche: Ich weiss ja nicht wie firm die Agentur insgesamt ist. Vielleicht machen die ja auch nur pixelschubsen mit externen EntwicklerInnen. Kann ja alles sein. Aber: Einmal F12 drücken und in der Konsole feststellen, was nicht geladen wird, das ist ja eigentlich Standard, wenn etwas nicht funktioniert. Und dann zu erkennen, dass ein Javascript nicht geladen wird, das halte ich eher für einfach. Contao hat ziemlich genau drei Möglichkeiten, um Javascript einzubinden. Die sollte man schon kennen. Auch dann, wenn man vorgefertigte Themes einsetzt. Das dann fällige Lehrgeld würde ich persönlich eher nicht auf meinen Kunden abwälzen wollen.

Ach ja, das Problem trat in der Woche vor Weihnachten auf, nicht am 8.1.18, und das ist auch so verlinkt.

[Halvor]

@lucina
Danke für die fixe Antwort.

Ich hab gerade festgestellt, dass der Beitrag von Thomas Löschnigg immer angezeigt wird als "Gestern, um 18:01 Uhr"

Steht da irgendwo ein Datum bei - ich hab nichts finden können, außer, dass der Beitrag am 19.12.2017 bereits verlinkt worden ist, in einem anderen Forenbeitrag.

[Stefko]

Ich hab gerade festgestellt, dass der Beitrag von Thomas Löschnigg immer angezeigt wird als "Gestern, um 18:01 Uhr"

Gestern stand da in der tat noch 8.1., wurde wohl etwas editiert und das Datum erneuert sich dadurch immer

Steht da irgendwo ein Datum bei - ich hab nichts finden können, außer, dass der Beitrag am 19.12.2017 bereits verlinkt worden ist, in einem anderen Forenbeitrag.

Müsste der 18.12. gewesen sein. In dem Beitrag selbst steht ja, "Da es anscheinend in der Nacht vom 17. auf 18.12. einen Hackerangriff auf diese Domain gab, wurde sie abgeschaltet und das Script kann nicht mehr geladen werden."
Hier wird er am 18. erwähnt und davor kann es ja nicht gewesen sein