1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Sicherheitslücke in 3.6.1? Blog gehackt?

Dieses Thema im Forum "Allgemeines" wurde erstellt von RealXtC, 29. Oktober 2013.

  1. RealXtC

    RealXtC Member

    Registriert seit:
    24. Februar 2008
    Beiträge:
    10
    Zustimmungen:
    0
    Hallo Forum.
    Heute viel mir beim editieren eines Templates auf das im Ordner /wp-content/themes/
    ein neues Template installiert wurde und das war mit Sicherheit nicht ich.

    Die Logfiles für diesen Zeitraum: (meine Adresse hab ich ausgetauscht)
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

    Kann mir jemand sagen ob das eine Lücke gibt und wie ich weiter vorgehen sollte?
     
    #1 RealXtC, 29. Oktober 2013
  2. RealXtC

    RealXtC Member

    Registriert seit:
    24. Februar 2008
    Beiträge:
    10
    Zustimmungen:
    0
    Sorry für den Doppelpost. Edit war leider nicht mehr möglich.

    Nachtrag: Es war wohl eine Attacke aus einem Botnetz. Gezielt auf den Adminaccount. Dieser ist jedoch bei mir nicht vorhanden.
    Scheinbar wurden keine weiteren Dateien verändert oder weitere angelegt.
    Auch tauchen keine neuen Benutzer bzw. Admins auf.
    Passwörter wurden von mir geändert.
    Weitere Vorschläge?
     
    #2 RealXtC, 29. Oktober 2013
  3. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Na aber Zugang hatte der Hacker doch, sonst hätte doch kein Template installiert werden können. Und was einmal geschafft wurde, lässt sich ohne weitere Sicherungsmaßnahmen auch ein zweites Mal erreichen, denke ich mir. Eventuell solltest Du Dir da schon überlegen, was Du zusätzlich noch verändern könntest.
     
    #3 Melewo, 29. Oktober 2013
  4. RealXtC

    RealXtC Member

    Registriert seit:
    24. Februar 2008
    Beiträge:
    10
    Zustimmungen:
    0
    Ich hab jetzt erstmal den Zugang zur Seite aus dem "Osten" eingeschränkt. Es sieht so aus als hätte einer meiner Mitstreiter ein extrem schwaches PW genutzt. Diesen muss ich wohl noch etwas schulen ;)
     
    #4 RealXtC, 29. Oktober 2013
  5. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.355
    Zustimmungen:
    588
    Wie sieht die Datenbank aus? Wurden hier weitere Admins eingetragen? Gibt es den Admin mit der ID 1 bei dir?

    Du musst unbedingt die Sicherheitslücke finden. Kannst den zugriff auf /wp-admin/ durch einen Server Seitigen Login verhindern?
    Dann würde ich dies machen.

    Viel Glück

    ralf
     
    #5 r23, 29. Oktober 2013
  6. RealXtC

    RealXtC Member

    Registriert seit:
    24. Februar 2008
    Beiträge:
    10
    Zustimmungen:
    0
    DB ist sauber. Sicherheitslücke war dann wohl doch eher das schwache PW. Aber einen Extralogin für den Ordner werde ich trotzdem anlegen. Danke für den Tipp :)
     
    #6 RealXtC, 29. Oktober 2013
  7. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    #7 Melewo, 29. Oktober 2013
  8. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.355
    Zustimmungen:
    588
    Die Angriffe bei mir waren am letzten Wochenende über eine SQL Injection Attack. Meine Firewall logte die SQL Injection

    Auszug.
    de/?fbconnect_action=myhome&fbuserid=2+and+1=2+union+select+1,2,3,4,5,concat%28use ... usw

    Einfach mal prüfen, ob du derartige Sachen in der Log findest. Hier werden die Passwörter der Admins mit der id 1 bis 5 geändert.

    Viel Glück

    Ralf
     
    #8 r23, 29. Oktober 2013
  9. RealXtC

    RealXtC Member

    Registriert seit:
    24. Februar 2008
    Beiträge:
    10
    Zustimmungen:
    0

    Danke für den Tipp. Tatsächlich findet sich auch in meinen Logs ähnliches:
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    IP stammt von den Philippinen.

    Wurden bei dir Einträge in der DB geändert?
     
    #9 RealXtC, 29. Oktober 2013
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden