Site gehackt: ghost-dz Algerian Attack DA!

Das kann dir keiner sagen. Dazu müsste man sich deinen Blog näher anschauen. Probleme können z.B folgende sein:

- Plugins
- unsichere Passwörter
- falsche Rechte gesetzt
- veraltete Wordpress-Version
- usw.

Man kann Dateien auch ändern, ohne das sich das Datum ändert. Ich würde an deiner Stelle alle Passwörter ändern z.B Adminbereich, FTP usw. (min.10Stellen kryptisch) und den Blog komplett neu aufsetzen bzw. eine saubere Datensicherung verwenden.

 

Du hast nur die gh.html gelöscht?

der Angrefier hat Änderungen an deinen Scriptn durchgeführt. Hierbei ändert sich z.b. die Datei-Größe. für ein _lernen_ der Erkennung - könntest du z.b. mit FileZilla -> Ansicht -> Verzeichnisvergleich druchführen.
Und mit winmerge in einer Windows Umgebung den Schadcode dir suchen.

Die Suche nach der Lücke könnte schwer werden, da er vermutlich sich ein Script in dein ~/upload/ Verzeichnis legte - und eben - "notwendige" Änderungen durchführte.

Vermutlich ist er seit Monaten auf deinem System und hat seine Spuren jetzt gelöscht und hinterlies diesen Gruß.

Seit 2005 nervt er
https://www.google.de/search?q=ghost-dz+Algerian+Attack+DA

Wordpress richtig installieren? oder installieren lassen?

du kannst keiner Datei mehr trauen

cu

ralf

 

In der Regel werden zurzeit Änderungen nur für Besucher gemacht, die über Google kommen. D.h. - wird deine Seite bei Google gefunden - wird *zufällig* d.h. nicht immer - eine Weiterleitung auf eine andere Seite eingerichtet.

in der dos.php hatte der Anfreifer vermutlich sein Tool mit dem er
- Verzeichnisse erstellen konnte
- Dateien ändern
- Accounts anlegen
- Daten (Datenbank und Dateien) hinzufügen konnte.

Wenn der Angreifer auf dein System schreiben konnte - must du die Sicherheitslücke suchen und diese schliessen - sonst kann er jederzeit
zurück kommen.

Informiere auch deinen Provider über den Angriff. Da er augenscheinlich keine richtigen Werkezeuge laufen läßt - hast du per se ein Problem.

Prüfe auf fehlerhafte Plugins
http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=wordpress

Viel Glück


ralf

 

Überprüfe zuerst deinen lokalen Computer nach Viren oder Trojanern die dich ausspionieren könnten.

Danach heißt es alle Zugänge ändern. E-Mail Zugänge, Webhoster Zugänge, FTP-Zugänge.

Nur das Blog und Datenbank Kennwort noch nicht ändern. Da der Blog höchstwahrscheinlich noch Infiziert ist.

Jetzt erstelle trotz allem erstmal ein vollwertiges Backup. (Datenbank & FTP) Ich würde es zippen und "_infiziert" an den Dateinamen hängen.

Normalerweise solltest du jetzt ein altes unbefallenes Backup wieder einspielen. Es könnte allerdings auch sein das schon älter Backups infiziert sind.

Durchsuche die Dateien mit einem Editor nach den Zeichen "base64" oder "eval" diese weisen schon stark auf einen Schadcode hin.

Leider kannst du es nur langsam eingrenzen ob Schadcode vorhanden ist. Der Code kann nämlich auch mit harmlosen befehlen ausgeführt werden.

Schau im Quelltest auch nach seltsamen links die du nicht gesetzt hast. Das wäre auch ein Hinweis darauf. Dazu logge dich Bitte aber auch mal aus. Manche Angriffe siehst du nur im ausgeloggtem Zustand.

Wenn du dir sicher bist das dein Backup keinen Schadcode enthält würde ich noch alle Wordpress/Plugin Standart-Dateien austauschen und wenn möglich updaten.

Jetzt Kannst du dein Wordpress-Passwort und dein Datenbankpasswort ändern. Ich weiß nicht ob es noch Funktioniert doch mit diesem Plugin

http://wordpress.org/extend/plugins/exploit-scanner/

konnte man feststellen ob Schadcode vorhanden ist. Natürlich ist dies auch keine Garantie.


Um deinen Blog in Zukunft sicherer zu machen könntest du:

- Wordpress und Plugin Updates immer aktuell halten (verwende nicht zu viele Plugin und nur aus sicherer Quelle)
- SSL für Wordpress einrichten (Wenn du dich auch über öffentliches WLAN einloggst)
- die Datei wp-login.php via htaccess schützen und die Dateien htaccess htpasswd wp-config.ph |liesmich.html readme.html darüber sperren.
- Den Standart-Admin Namen umbenennen von Admin in „Beispiel-Admin“
- Die Standart-Admin ID ändern von 1 in eine beliebige 3 stellige zahl
- Den Sicherheitsschlüssel für die wp-config generieren
- und in der wp-config das Tabellenpräfix von dem Standard "wp_" in "meinblog_" ändern

Nützliche Plugins sind:
- Limit Login Attemps – Beschränkt die Anmeldevorgänge
- Secure Wordpress Schließt weitere Sicherheitslücken im System

Bei Fehlern lerne ich natürlich gerne dazu.

 

ich finde derartige fünf minuten Anleitung total sinnfrei in einem forum.
BeispieL. wenn du die liesmich.html readme.html datei sperren möchtest, stellt sich die frge, wenn du verhindern möchtest, dass deine wordpress version veröffentlich wird, warum sendest du im _header_ von dem content
gleich die wp-version mit?

Dateien, die man nicht benötigt, haben auf dem Server nichts verloren. ergo: löschen (liesmich.html readme.html)

und dafür sorgen, dass wordpress die Version nicht jedem nennt.
und viele weitere punke - die an deiner auflistung für einen sicheren wordpress installation (mir) fehlen.

Datei und Verzeichnisrechte.

usw.

ralf