Blog gehackt

FuGu · 26. September 2012

Ich nutze die aktuellste WP Version und bin heute nachmittag aufmerksam geworden, weil ich eine Mail erhalten habe, dass jemand für meinen Account eine Passwortrücksetzung angefordert hat.
Als ich mich selber einloggen wollte ging dies nicht. Erst nachdem ich das PW erneut zurückgesetzt habe konnte ich mich wieder einloggen.

Über das Dashboard konnte ich nachvollziehen, dass mein Blog über diese Seite aufgerufen wurde:
http://www.zone-h.com/mirror/id/18391336
Da läßt sich dann auch eben erkennen, dass sie ABOUT Seite umgeschrieben wurde.
Mit dem was da geschrieben wurde kann ich so nix anfangen. Wäre nett, wenn einer mal einen Blick darauf werfen könnte und mir erläutert wie der Sacktreter über das Passwortrücksetzen in das Blog gelangt ist.

Hier der Inhalt:

Code:
Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

wemaflo · 26. September 2012

Es sieht fast so aus, als hättest du Glück gehabt und jemand hat dein Blog nur um des Hackens willen gehackt. Du solltest nun mit deinem Hoster zusammen (auf Basis der Logs) feststellen, wie der Angreifer in dein System kam (weil du die Rücksetzung erwähntest: hast du ein schwaches Passwort genutzt?). Diese Schwachstelle musst du flicken und alles, was der Angreifer geändert hat oder geändert haben könnte wieder korrigieren.

FuGu · 26. September 2012

Die aktuellen Logs (heute) gibt es erst heute nacht. Habe aber über das Log von gestern schon herausgefunden, dass bereits gestern ein neues PW angefordert wurde. Die gleiche IP hat dann im Sekundentakt auf ein PlugIn von Hitasoft (ripe-hd-player) zugegriffen...
Irgendwie scheint dort ein Leck zu bestehen...

Und ja.. ich habe ein sicheres PW verwendet. Wäre aber doch auch egal, da der Hacker es ja offensichtlich geschafft mein PW zurückzusetzen und gegen ein eigenes zu tauschen.

wemaflo · 26. September 2012

Zitat von FuGu: ↑

Die gleiche IP hat dann im Sekundentakt auf ein PlugIn von Hitasoft (ripe-hd-player) zugegriffen...
Irgendwie scheint dort ein Leck zu bestehen...
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Wenn sich das mit den aktuellen Logs bestätigt (da sollte man dann auch in etwa sehen, wie das ganze von statten ging), hast du deine Lücke gefunden, sonst musst du wohl leider weitersuchen

Zitat von FuGu: ↑

Und ja.. ich habe ein sicheres PW verwendet. Wäre aber doch auch egal, da der Hacker es ja offensichtlich geschafft mein PW zurückzusetzen und gegen ein eigenes zu tauschen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Naja, so egal ist es gar nicht. Es hätte ja sein können, dass das Passwort unsicher war und der Hacker überhaupt keine Schwachstelle ausnutzen musste, um in dein Blog zu kommen. Das wäre insofern komfortabel gewesen, als dass du dann nicht viel weiter hättest forschen müssen.

Ach so: Sichere am besten mal den aktuellen Stand und tausche deine WordPress-Dateien gegen frische. Verdächtige Plugins solltest du entfernen und sämtliche Einstellungen kontrollieren. Schau dir in der Datenbank vor allem mal die User-Tabellen an.

FuGu · 27. September 2012

Soll ich die beiden Logs mit den "Tätigkeiten" der besagten IP mal posten?

WPDE.org

Blog gehackt

FuGu Member

wemaflo Well-Known Member

FuGu Member

wemaflo Well-Known Member

FuGu Member

Nützliche Suchen

Blog gehackt

FuGu Member

wemaflo Well-Known Member

FuGu Member

wemaflo Well-Known Member

FuGu Member