1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

1&1 seltsame Daten am Server mit einen erstell Datum vor ca. 11 Monaten

Dieses Thema im Forum "Webhosting-Provider" wurde erstellt von Henk1060, 20. November 2017.

  1. Henk1060

    Henk1060 Well-Known Member

    Registriert seit:
    4. September 2014
    Beiträge:
    3.927
    Zustimmungen:
    349
    Hy Leute,

    Ich brauch mal euer Schwarm wissen ;)

    Habe heute bei einer Mini Privat Seite so eine nette Mail erhalten mit dem Inhalt *Angriff auf ihren 1&1 Vertrag*
    Ok dann dachte ich einmal, da war sicher ein netter Hacker auf Besuch ;)

    Wobei bei ein paar Dateien gleich am Anfang völlige schwachsinnige Daten hinterlegt worden sind.
    Die nichts ausführen und auch keine Funktion haben.

    Jedoch ist mir jetzt erst aufgefallen, das diese Daten ja x Monate zurückliegen laut Änderungsdatum am Server.
    Wenn ich mir das Backup von 1&1 ansehe (ein paar tage alt), stimmt das alte Datum und die Daten sind sauber.
    Auch wurden neue Dateien erstellt mit einen Datum vor 11 Monaten, die im letzten Backup nicht vorhanden sind.

    Jetzt frage ich mich Natürlich, wie kann es sein das Daten geändert worden sind aber nicht mit dem Aktuellen Datum von heute.
    Mir ist bewusst, das dies eigentlich möglich ist. Aber würde da einer darauf achten bei einen Hack angriff?

    Irgendwie habe ich die Vermutung das beim hoster ein Fehler vorliegt.
    Oder was mein ihr?
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Poste doch mal ein Beispiel (ganz von Dateianfang bis inkl. erste Zeile sinnvoller Inhalt).

    Zum Thema "Ändern Modifikationszeit" einer Datei siehe z.B. hier.
     
  3. Henk1060

    Henk1060 Well-Known Member

    Registriert seit:
    4. September 2014
    Beiträge:
    3.927
    Zustimmungen:
    349
    war nicht viel
    nur das

    $d65eb0 = 752;$GLOBALS['vc99']=Array();
    <?php
    und dann der inhalt von der datei
     
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Als gehackt & verseucht zu betrachten. Alle WordPress Systemdateien und Plugins und Themes austauschen, dabei gesamte Ordnerstruktur zunächst löschen, da oft zusätzliche Dateien mit eigenen Dateinamen hinterlassen werden. Alle Dateien in Childthemes per Hand prüfen. Alle Dateien & Ordner in den Cache- und Upload-Verzeichnissen usw. prüfen, auch dort bleiben oft tief verschachtelt Backdoors zurück. Auch die Datei wp-config.php prüfen, oft sind dort in der ersten Zeile erst viiiieeeele Leerzeichen und dann ganz weit rechts kommt Code... und alle Kennwörter inkl. FTP & MySQL ändern, viel Erfolg!

    Hintergrund dieser/ähnlicher Malware z.B. hier.
     
    #4 b3317133, 20. November 2017
    Zuletzt bearbeitet: 20. November 2017
  5. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
    Ist doch eigentlich naheliegend. Ich würde das nicht anders machen. So landen die gehackten Beiträge irgendwo weit hinten im Blog. So fallen sie dir nicht gleich auf und sind möglichst lange online.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden