Haben wir hier einen Serverprofi?

[Totti-Amun]

Moin,

eine Notfall-Frage:
Seit gestern früh sind all meine Webseiten gestört, der Provider schiebt die Schuld von sich.

Fakt: Gestern 08.09.2025 ist gleichzeitig seit gegen 09:00 Uhr von meinen Webseiten nur noch die Startseite erreichbar.
Man kommt durch Klicken von den Schaltflächen entweder nur direkt wieder auf die Startseite, oder es erscheint eine weisse Seite mit folgendem Text: Forbidden You don't have permission to access this resource.

Man kann sich nicht einloggen, etwa um sich in einem der beiden aktiven Foren zum Beitragschreiben einzuloggen, oder in den beiden Onlineshops, um eine Bestellung auszulösen.
Man kann auch in den Onlineshops nicht die Unterseiten aufrufen, etwa die Artikel usw. Man kommt nicht über die Startseite hinaus, nicht mehr mal das Impressum ist verfügbar.

Der Provider behauptet dies, auszugsweise:

Ein generelles, serverseitiges Problem kann für Ihre Webseiten nicht festgestellt werden. Der Server läuft ruhig und auch die Dienste sind einwandfrei erreichbar, wie u.a. durch den Aufruf der Webseiten selbst nachstellbar.
.....
Die Probleme Ihrer Webseiten sind gemäß erster Prüfung auf eine Fehlkonfiguration dieser zurückzuführen.

Der Forbidden-Fehler bei https://shop.windcraft-sports.de/log...action=process ist auf die dazugehörige .htaccess-Datei Ihrer Webseite (/kunden/xxxyyyy/webseiten/shop.windcraft-sports.com/.htaccess) zurückzuführen. So ist in dieser Datei der generelle Aufruf von php-Dateien untersagt (“Deny from all”) und in der nachfolgenden “Whitelist” jedoch nicht die im Aufruf relevante “login.php” eingefügt.

Das Gleiche gilt auch für Ihre anderen Webseiten. So ist unter dunkerbeck.ws ein Aufruf der Datenschutzseite http://www.dunkerbeck.ws/shop_content.php?coID=2 nicht möglich, da ebenfalls über die .htaccess-Datei (/kunden/xxxsswwssd/webseiten/dunkerbeck.ws/shop/.htaccess) der Zugriff auf die dazugehörige “shop_content.php” nicht erlaubt wird.

Diese Regeln wurden nicht von unserer Seite aus eingefügt. Wir empfehlen Ihnen daher Rücksprache mit dem verantwortlichen Verwalter Ihrer Webpräsenzen zu halten, wer diese Regeln eingefügt hat oder ggf. eine Anpassung an vorhandenen Plugins durchgeführt hat, welche ebenfalls zu Änderungen der .htaccess-Datei führen können, und empfehlen Ihnen diese wieder zu entfernen bzw. für Ihre jeweiligen Präsenzen vollständig anzupassen, sodass ein Aufruf der nötigen PHP-Skripte und damit verbunden auch der Webseiten wieder ermöglicht werden kann.

Niemand kann Änderungen ausgeführt haben, das sind Behauptungen vom Provider DF.
Mein Programmierer ist seit langem schwerkrank und macht nichts mehr für mich, würde auch nie meine Seiten sabotieren.

Was kann man jetzt machen? DF hat es noch nichtmal nötig gehabt, sich zeitnah zu melden. Erste Reaktion jetzt nach 36h mit oben zitierter Email.

Alle Webpräsenzen sind seit dem selben Zeitpunkt gleichzeitig gestört.
Sogar die einfache Seite www.ptc-gmbh.com, man kommt nicht über die Startseite hinaus.

2 Woltlab Foren, 1 Gambio Shop, ein Modified Shop und 2 einfache Webseiten.

Auf die beiden Foren geht der Provider ja schon mal gar nicht ein.

Gruß

Totti

[Chili]

Zitat:

Zitat von Totti-Amun

Was kann man jetzt machen? DF hat es noch nichtmal nötig gehabt, sich zeitnah zu melden.

Die Analyse deines Hosters liegt ja vor.
Da steht ja geschrieben, was zu tun wäre.

Gibt es nicht ein BackUp?
Zum einen sollte das einen lauffähigen Stand wiederherstellen und man könnte mal schauen, was dort in der .htaccess drin stand.

Etwas seltsam ist natürlich, warum das jetzt plötzlich auftritt.
Du suggerierst, dass zuvor alles lief und niemand dran gefummelt hat.
Nur das kann ja irgendwie auch nicht sein.

[coffeemuc]

Zitat:

Zitat von Chili

Etwas seltsam ist natürlich, warum das jetzt plötzlich auftritt.
Du suggerierst, dass zuvor alles lief und niemand dran gefummelt hat.
Nur das kann ja irgendwie auch nicht sein.

Aus Tottis Beschreibung vermute ich, dass man bei dem Provider nur Dateien (Content) hochlädt, die Pflege der eigentlichen Server aber beim Provider liegt.

Dann kann das schon sein. Z.B. könnten früher die beanstandeten Seiten wie login.php generell "offen" gewesen sein, hat anders ja auch wenig Sinn.
Nun haben sie es geändert und man muss die Einträge eben nachtragen.
Ist auch kein Hexenwerk wenn man weiß wie es geht und vor allem die Zugangsdaten hat.

[coffeemuc]

Zitat:

Zitat von Totti-Amun

Was kann man jetzt machen?

Jemand beauftragen der die fehlenden Einträge einfügt, bzw. vorher mal schaut ob es daran liegt.

Hast du die Zugangsdaten?

[Emotion]

Zitat:

Zitat von Totti-Amun

Mein Programmierer ist seit langem schwerkrank und macht nichts mehr für mich, würde auch nie meine Seiten sabotieren.

Totti du schockierst mich, du betreibst beruflich mehrere Shops, dein Programmier fällt aus und du kümmerst dich nicht um Ersatz?

Wer wartet die Shops, installiert Sicherheitsupdates usw???

Ehrlich im Jahr 2025 wo schon Unternehmen duch Hackerangriffe in die Insolvenz geschickt wurden.

[coffeemuc]

Zitat:

Zitat von Emotion

Wer wartet die Shops, installiert Sicherheitsupdates usw???

Der Beschreibung nach wahrscheinlich der Provider.

[Totti-Amun]

Zitat:

Zitat von Chili

Die Analyse deines Hosters liegt ja vor.
Da steht ja geschrieben, was zu tun wäre.

Gibt es nicht ein BackUp?
Zum einen sollte das einen lauffähigen Stand wiederherstellen und man könnte mal schauen, was dort in der .htaccess drin stand.

Etwas seltsam ist natürlich, warum das jetzt plötzlich auftritt.
Du suggerierst, dass zuvor alles lief und niemand dran gefummelt hat.
Nur das kann ja irgendwie auch nicht sein.

Absolut plötzlich gegen 09:00 Uhr gestern.
Es war niemand von meiner Seite daran. Weder ich, noch mein Programmierer.
Das sind ja auch Seiten bei, die er gar nicht betreut. Er macht nur die beiden Foren.
Den Onlineshop hatte ich zuletzt (12.2023) von Gambio selbst aktualisieren lassen, den anderen nie.
Auch: Warum soll jemand an die www.ptc-gmbh.com gehen?
Da ist nix...

Ich sehe ein Problem beim Provider.

Grüße

Totti

[Totti-Amun]

Zitat:

Zitat von Emotion

Totti du schockierst mich, du betreibst beruflich mehrere Shops, dein Programmier fällt aus und du kümmerst dich nicht um Ersatz?

Wer wartet die Shops, installiert Sicherheitsupdates usw???

Ehrlich im Jahr 2025 wo schon Unternehmen duch Hackerangriffe in die Insolvenz geschickt wurden.

An den Foren ist kein Bedarf was zu machen.

Der Gambioshop wurde von Gambio gewartet und ist in der sichersten Version, die so Bekannterweise läuft. Natürlich gibt es dafür Updates, aber sind nicht wichtig.

Der uralte Modified ist halt alt.

Aber das erklärt nicht die Zusammenhänge.

Der Gambio und die beiden Foren laufen ohne Extras, ganz normale Grundversion.

Auf die beiden Foren gehen die vom Provider ja mal gar nicht erst ein.


Grüße

Totti

[coffeemuc]

Zitat:

Zitat von Totti-Amun

Ich sehe ein Problem beim Provider.

Der Provider hat dir eine recht gute (wenn sie richtig ist, muss man prüfen) Analyse erstellt und nun ist es an dir das zu beheben.

[Totti-Amun]

Zitat:

Zitat von coffeemuc

Der Provider hat dir eine recht gute (wenn sie richtig ist, muss man prüfen) Analyse erstellt und nun ist es an dir das zu beheben.

Ja, das lasse ich lieber sein und suche mir irgendwo jemanden, der davon wirklich was versteht.
Ich fummle da nicht dran rum und habe hinterher noch mehr Probleme.

Hat jemand eine schlüssige Erklärung, warum auf die Minute genau alle Webseiten auf diesem Server in meinem Paket die selben Symptome aufweisen?

Keine Weiterführung auf Unterseiten, einloggen nicht möglich.
Auch ein Erreichen der Unterseiten über eine Emailbenachrichtigung oder Deeplink ist nicht möglich.
Also etwa über Google, müsste ich nochmal checken. Ist aber wohl so.

Grüße

Totti

[Emotion]

Wahrscheinlich hat sich da jemand in deinen Webspace eingeloggt und die Dateien geändert - sollte es so sein das sie geändert sind.

[Desertbyte]

Klingt zumindest als ob jemand ins System gekommen ist und Änderungen vorgenommen hat…

…weil von alleine ändert sich das nicht.

Backup einspielen vom Tag bevor der Ärger begann wäre wohl die einfachste Lösung. Anschließend würde ich aber von jemand die Sicherheitseinstellungen checken lassen und alle System-Passwörter ändern.
…und bis das gemacht ist würde ich den, wird ja ein virtueller Server sein, den runterfahren über die Konsole.

[Sunseeker_Portofino]

Ich habe einen Rechnerabsturz seit meinem letzten BF Besuch.
Deswegen auch meine unerklärlichen Doppel Post . Immer wenn ich da BF geöffnet hatte wurde mein letzter Post automatisch gesendet, mittlerweile aus dem Desktop unlöschbar eingebrannt.
Rechner ist in Reparatur solange nur Eierfon.
Schade, liegt aber bestimmt nicht am BF

[wernerw]

Zitat:

Zitat von Desertbyte

Klingt zumindest als ob jemand ins System gekommen ist und Änderungen vorgenommen hat…

…weil von alleine ändert sich das nicht.

Backup einspielen vom Tag bevor der Ärger begann wäre wohl die einfachste Lösung. Anschließend würde ich aber von jemand die Sicherheitseinstellungen checken lassen und alle System-Passwörter ändern.
…und bis das gemacht ist würde ich den, wird ja ein virtueller Server sein, den runterfahren über die Konsole.

Hoster stellen öfter mal auf andere Versionen um oder spielen Updates ein. Das die .htaccess Datei geändert wird, passiert eher selten.

Wer hat denn FTP Zugriff auf den Server? Der kann das ändern....

[Totti-Amun]

Zugriff hat eigentlich nur mein Foren-Programmierer für Woltlab und ich.
Sowohl FTP, als auch ins Provider Backend.

Mein Programmierer hat folgendes für die beiden Foren festgestellt:
Die .htaccess wurden um 09:15 geändert abweichend davon, wie sie seitens Woltlab aussehen sollten. Also zu dem Zeitpunkt wie erwähnt.
Es gibt allerdings keine Auffälligkeiten in den Admin-Kontrollpaneelen und den Logs der Foren.

Er selbst mutmasst das Problem beim Provider und schaut mal, ob er was feststellen kann.
Er ist halt auch nur jemand, der sich mit der Forensoftware sehr gut auskennt und hat auch für Woltlab Erweiterungen programmiert.
Beim Onlineshop usw. sind seine Möglichkeiten nur begrenzt, serverseitig letztlich sowieso.

Grüße

Totti

[Lippi]

Ich hatte ja auch mal ein Forum.
Bei all-inkl.com gibt es eine Log Datei, wer wann was geändert hat.
Wenns das bei Dir auch gibt, könntest Du schauen, was mit welchem Account geändert wurde.

[Sigi S.]

Hatte das auch mal bei einen meiner Server.
Fast jeden Tag wurden Dateien (.htaccess) verändert und so funktionierten die Seiten nicht mehr.
Lt Apache Log wurde immer von Ukrainische IP Adressen zugegriffen.
Habe mehrere Tage immer wieder Backups eingespielt, aber immer wieder das Gleiche.
Habe über Geoip diverse Länder auf einen neu aufgestetzten Debian beblockt.
Mit den eingespielten Backups war dann wieder ruhe.

[wernerw]

Ich hab den Eindruck der Provider hat eine Umstellung an den PHP Versionen vorgenommen. Die .htaccess wird gern benutzt um zu bestimmen welche Version denn aktuell auf der Webseite benutzt werden soll. Werden ältere PHP Versionen vom Provider aus dem Support genommen und verweiste die htaccess auf diese Version, funktionieren die Webseiten nicht mehr richtig. Das wird vom Provider aber angekündigt. Der Admin hätte das wohl wissen können. Da muss der aktiv werden.

Wenn sich aber rausstellen sollte da fummelt einer....würd ich wohl erstmal ein paar Zugangsdaten sperren, bzw. ändern. Schnellstens.

[Fronmobil]

Zitat:

Zitat von wernerw

Ich hab den Eindruck der Provider hat eine Umstellung an den PHP Versionen vorgenommen. Die .htaccess wird gern benutzt um zu bestimmen welche Version denn aktuell auf der Webseite benutzt werden soll. Werden ältere PHP Versionen vom Provider aus dem Support genommen und verweiste die htaccess auf diese Version, funktionieren die Webseiten nicht mehr richtig. Das wird vom Provider aber angekündigt. Der Admin hätte das wohl wissen können. Da muss der aktiv werden.

Genau das wurde vor ein paar Wochen von meinem Provider angekündigt.
Da hat man definitiv ausreichend Zeit zu reagieren.

[Sigi S.]

Seit DF von Godaddy übernommen wurde ist kein verlass mehr.
Vor einigen Monaten wurden die Mailkonten zu Microsoft portiert, ohne Infos an die Kunden, das geht einfach nicht.
Wenn alle Backups vorhanden sind, zu einen anderen Hoster wechseln

[Lippi]

Da kann ich nur all-inkl.com empfehlen.
Nicht weil die Fa. hier um die Ecke den Hauptsitz hat, sondern weil ich wegen einem Problem schonmal Sonnabend 22 Uhr angerufen habe und selbiges in 10 Minuten erledigt wurde.

[maxo]

Hallo Totti,
nur einen kurzen Tipp. Wie weit kennst du deine Backupstrategie?

Falls du keine hierachische Versionierung hast, könnte dein nächstes Backup, deine evtl. noch funktionierende Backupversion überschreiben. Es wäre dann eine gute Idee, das aktuelle Backup zusätzlich an einen sicheren Ort zu kopieren.
Zum Testen kannst du ja auch evtl. probieren einzelne htaccess Dateien aus deinem Backup wiederherzustellen bzw. zu kopieren? Dazu sollte allerdings dein FTP Zugang funktionieren.

Viel Glück bei der Wiederherstellung deiner Webseiten.

PS: Hört sich für mich auch so an, als ob dein Provider eine Aktualisierung von irgendeiner Serverkomponente unabgestimmt durchgeführt hat. Ein Hackerangriff "fühlt" sich i.d.R anders an. Ein vorsätzlich durchgeführter Angriff, der solche Änderungen vornehmen kann, würde auch versuchen deine Zugangsparameter (Passwort) zu ändern, damit du keinen Zugriff mehr hast.

[Totti-Amun]

Zitat:

Zitat von wernerw

Ich hab den Eindruck der Provider hat eine Umstellung an den PHP Versionen vorgenommen. Die .htaccess wird gern benutzt um zu bestimmen welche Version denn aktuell auf der Webseite benutzt werden soll. Werden ältere PHP Versionen vom Provider aus dem Support genommen und verweiste die htaccess auf diese Version, funktionieren die Webseiten nicht mehr richtig. Das wird vom Provider aber angekündigt. Der Admin hätte das wohl wissen können. Da muss der aktiv werden.

Wenn sich aber rausstellen sollte da fummelt einer....würd ich wohl erstmal ein paar Zugangsdaten sperren, bzw. ändern. Schnellstens.

Eine solche Ankündigung gab es nicht, dann hätte man ja jetzt auch schlicht darauf verweisen können.
Es wird wohl schlimmer sein.

Gruß

Totti

[Totti-Amun]

Zitat:

Zitat von maxo

Hallo Totti,
nur einen kurzen Tipp. Wie weit kennst du deine Backupstrategie?

Falls du keine hierachische Versionierung hast, könnte dein nächstes Backup, deine evtl. noch funktionierende Backupversion überschreiben. Es wäre dann eine gute Idee, das aktuelle Backup zusätzlich an einen sicheren Ort zu kopieren.
Zum Testen kannst du ja auch evtl. probieren einzelne htaccess Dateien aus deinem Backup wiederherzustellen bzw. zu kopieren? Dazu sollte allerdings dein FTP Zugang funktionieren.

Viel Glück bei der Wiederherstellung deiner Webseiten.

PS: Hört sich für mich auch so an, als ob dein Provider eine Aktualisierung von irgendeiner Serverkomponente unabgestimmt durchgeführt hat. Ein Hackerangriff "fühlt" sich i.d.R anders an. Ein vorsätzlich durchgeführter Angriff, der solche Änderungen vornehmen kann, würde auch versuchen deine Zugangsparameter (Passwort) zu ändern, damit du keinen Zugriff mehr hast.

Wie ich das sehe, haben wir uneingeschränkten Zugriff.

DF hält angeblich 7 Tage Backups vor.

Ich spreche gegen 10 mit meinem Foren-Programmier, der nicht zuversichtlich klingt in einer Email der Nacht:

Praktisch jede .htaccess-Datei der Seiten wurde verändert und der Inhalt der Dateien korreliert mit dem Verhalten der Foren (Fehlermeldung Client denied by server configuration) und dem Hinweis von DF in der anderen E-Mail. Und wenn hier das zutrifft, was man im Internet darüber finden kann, dann werden die .htaccess-Dateien nach Wiederherstellung automatisch wieder manipuliert. Es gibt selektive Änderungen von PHP-Dateien (z.B. index.php) und es gibt bei allen Seiten zusätzliche neue Dateien (schallfuns.php). Ich habe jedoch keine Hinweise darauf gefunden, wer tatsächlich was und wie gemacht hat. Es könnte aber gemäß Zeitstempel diverser Dateien wohl am 08.09.2025 gegen 09:00 passiert sein.

Gruß

Totti

[Totti-Amun]

Zitat:

Zitat von Sigi S.

Seit DF von Godaddy übernommen wurde ist kein verlass mehr.
Vor einigen Monaten wurden die Mailkonten zu Microsoft portiert, ohne Infos an die Kunden, das geht einfach nicht.
Wenn alle Backups vorhanden sind, zu einen anderen Hoster wechseln

Das mit den Mailkonten steht bei mir noch aus und ist auch ein riesiges Ärgernis.
Das größere Problem ist die Unzuverlässigkeit seit ein paar Jahren und eben die Reaktionszeit von immer bald 48h.
Hilfestellung an sich wird auch nicht geboten.
Ein Umzug in der Dimension muss gut überlegt sein und dazu muss man auch erstmal jemanden finden, der das zuverlässig kann.
Das sind ja keine einfachen html Seiten.

Grüße

Totti