1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Angriff auf 1&1 Webspace, Datei evex.php

Dieses Thema im Forum "Installation" wurde erstellt von freisinn, 13. September 2014.

  1. freisinn

    freisinn Member

    Registriert seit:
    30. August 2014
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo zusammen,

    1&1 meldete uns heute zum zweiten Mal einen Angriff auf unseren Webspace.
    Im Ordner wp-content/uploads findet sich die Datei "evex.php".

    Beim ersten Angriff vor ca. 14 Tagen haben wir auf Anraten unseres Webdesigners zuerst die Datei umbenannt, als dann die Seite noch normal funktioniert hat, die Datei (bzw. da waren es zwei, noch eine "ftp.php") gelöscht.
    Danach alle Passwörter, also für ftp und Wordpress Zugang, geändert.
    Trotzdem ist das Ding jetzt wieder da.

    Kennt jemand diese Datei, oder weiss was die macht ? Über google finde ich leider nichts dazu.
    Unsere Passwörter sind jetzt m.E. wirklich sehr sicher, ich frage mich, wie kommt die Datei da wieder rein ?
    Kann es sein, daß sich irgendetwas so "tief ins System" gegraben hat, daß es sich dann selber wieder installiert ?

    Sorry, bin leider auf diesem Gebiet nicht besonders erfahren, und unser Webdesigner sagt immer nur: ja nix upgraden !

    Habt ihr da irgendwelche Erfahrungen ?
    Liebe Grüße und vielen Dank im Voraus !
     
    #1 freisinn, 13. September 2014
  2. Marcus[IS]

    Marcus[IS] Well-Known Member

    Registriert seit:
    23. August 2009
    Beiträge:
    5.955
    Zustimmungen:
    175
    Hi,

    Würde mich mal interessieren, wie ein Webdesigner nur zu solch einer Aussage kommt. Hat er das näher erläutert?

    Es gab in letzter Zeit immer wieder Meldungen über Sicherheitslecks bei diversen Themes und Plugins.
    Hier dann Updates zu ignorieren ist, wie du ja selber jetzt erfahren musstest, absolut der falsche Weg.

    Da der Blog mit Sicherheit bereits schon so kompromittiert ist, kannst du keiner Datei und auch nicht der Datenbank mehr vertrauen.
    Löschen, oder umbenennen von solchen Skripten bringt hier gar nichts.
    Die Sicherheitslücken müssen gefunden und behoben werden.

    Wenn du ein Datenbank Backup von "vor" dem Angriff hast, kannst du dieses für eine Neuinstallation des Blog verwenden.

    Falls du aus dem Kopf weißt welche Plugins du einsetzt, kannst du im Internet nachprüfen, ob Sicherheitslücken bekannt sind.

    Probleme gab es bei älteren Versionen der TimThumb Datei, welches in diversen Themes zum Einsatz kam/kommt.

    Mailpoet hatte eine sehr drastische Sicherheitslücke, welche sich selbst ausnutzen lies wenn das Plugin nicht aktiv war.

    Bei Slider Revolution ist vor kurzem aufgefallen, dass dort eine gravierende Sicherheitslücke enthalten ist. Auch dieses kommt bei diversen Themes zum Einsatz.

    All in One SEO Pack enthielt eine Sicherheitslücke, welche durch ein Update inzwischen behoben sein dürfte.

    Also wie du siehst, sind Updates von Plugins, Themes und WordPress dringend anzuraten und werden nicht ohne Grund veröffentlicht.
     
    #2 Marcus[IS], 13. September 2014
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden