1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Hacker legt mein Wordpress lahm, HILFE

Dieses Thema im Forum "Installation" wurde erstellt von mrcb132, 26. März 2014.

Schlagworte:
  1. mrcb132

    mrcb132 Member

    Registriert seit:
    6. März 2013
    Beiträge:
    23
    Zustimmungen:
    0
    Hallo,

    jetzt muss ich mich zum ersten mal hier Melden!
    Wenn ich meine Webseite aufrufe, kommt nur der Name a-n o- n- b- o-y- Die Seite bleibt komplett Weiß.
    In den Admin bereich komm ich ganz Normal, und auch alle Sachen sind noch da.

    Hat jemand eine idee was ich jetzt als erstes machen sollte ? Was hat der Halunke gemacht das nur noch der Name kommt, und nicht mehr meine Webseite ?

    Leider hatte ich bis heute noch nicht auf
    WordPress 3.8.1
    geupdatet.

    Ich hoffe Ihr könnt mir weiterhelfen.


    Besten danke
     
  2. Gerd-E.

    Gerd-E. Well-Known Member

    Registriert seit:
    24. April 2013
    Beiträge:
    3.203
    Zustimmungen:
    4
    Hi mrcb132,

    wenn du ein sauberes Backup hast, dann solltest du dieses einspielen! Und anschließend die Lücke suchen oder suchen lassen, wo es dem Fremdem gelang, in deine WP Installation einzudringen.

    Außerdem alle Passwörter bzw. Zugangsdaten ändern.

    Der Halunke hat dir wahrscheinlich eine statische Html Startseite oder einen Iframe installiert. Nur diesen allein zu finden, behebt dein Sicherheitsproblem nicht.
     
  3. mrcb132

    mrcb132 Member

    Registriert seit:
    6. März 2013
    Beiträge:
    23
    Zustimmungen:
    0
    Backup, das ist ein gutes Stichwort ...................................................:sad:

    Das bedeutet also, er war WENN, dann nur direkt im Wordpress unterwegs, nicht im mysql bereich ?
    Bis jetzt sind alle Sachen noch da, vielleicht sollte ich das Sichern, und danach auf die Suche gehen ?
     
  4. Gast 64612

    Gast 64612 Gast

    Das Backup wie von Gerd-E. angesprochen ist sehr wichtig. Als Hinweis, wenn du das MySQL Passwort änderst, musst du auch die Datei wp-config.php mit dem neuen Passwort anpassen. Untersuche zuvor über FTP die Dateien mit den neuesten Zeitstempel, oft ist auch die .htaccess Datei betroffen.

    Die Datenbank ist meist nicht direkt das Einfallstor, kann aber auch,indem Beiträge bearbeitet werden, infiziert sein.

    Nur als Info: http://www.heise.de/security/meldung/Netcraft-8-der-Malware-Seiten-im-Netz-laufen-auf-WordPress-2154522.html

    In der Regel sind hier aber ältere Versionen bzw. unsichere Plugins und Themes die Ursache.
     
    #4 Gast 64612, 26. März 2014
    Zuletzt von einem Moderator bearbeitet: 26. März 2014
  5. mrcb132

    mrcb132 Member

    Registriert seit:
    6. März 2013
    Beiträge:
    23
    Zustimmungen:
    0
    Leider hab ich kein Backup, bringt es jetzt noch etwas wenigstens den Inhalt zusichern ? Der ist noch komplett da wenn ich Wordpress reinschaue.

    1. FTP Datein nach Zeitstempel kontrolliere ?
    2. Backup erstellen ?
    3. Passwörter ändern ?
    4. Wordpress Update durch führen ?


    Vielen dank für die Hilfe
     
  6. Gerd-E.

    Gerd-E. Well-Known Member

    Registriert seit:
    24. April 2013
    Beiträge:
    3.203
    Zustimmungen:
    4
    Wenn kein Backup, dann eben jetzt eines machen. Files und Datenbank! Dann die PW ändern.

    Dann kannst du per FTP nach außergewöhnliche Dateien suchen. Ein gutes AntiVirus Plugin kann auch helfen, Schadcode zu finden.
     
  7. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Meine persönliche Empfehlung, suche dir hier in der Jobbörse professionelle Hilfe, alles andere wird nicht zum Erfolg führen.
     
  8. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Und mit der Aktualisierung von Plugins hinkst Du auch hinterher?

    Dann haben Hacker es zumindest leichter bereits bekannte Sicherheitslücken zu nutzen.
    Wenn Du Glück hast, handelt es sich nur um einen sportlich fairen Wettkampf, bei dem es nur darum geht innerhalb einer bestimmten Zeit möglichst viele Websites zu hacken und einfach nur zusätzlich eine index.html im Hauptverzeichnis abgelegt wird.

    Informiere den Hoster, spiele ein Backup ein, suche die Sicherheitslücke und schließe diese, bereinige den Rechner von Malware und irgendwo gab es noch eine richtige Anleitung für derartige Fälle mit weiteren Punkten.

    Wenn Du die Sicherheitslücke nicht allein finden solltest, bleibt Dir ohnehin nichts weiter übrig, als die Jobbörse zu nutzen, da es sonst täglich wieder passieren könnte.

    Nein, damit würdest Du vorhandenen Schadcode mitsichern. Nur eine noch saubere Sicherung verwenden.
     
    #8 Melewo, 26. März 2014
    Zuletzt bearbeitet: 26. März 2014
  9. mrcb132

    mrcb132 Member

    Registriert seit:
    6. März 2013
    Beiträge:
    23
    Zustimmungen:
    0

    Ja da geb ich dir recht, leider hab ich nicht alle Plugins Aktuell gehalten, weil die einen Hinweiß hatten das diese dann nicht mit der neuen Wordpress Version funktionierte.

    Wo gab es die Anleitung ? Den Hoster Informieren ? Meinst du das mein Login dort betroffen ist ? Ich hab dort schon das Passwort eben geändert.
     
  10. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Wenn ich noch wüsste wo, dann hätte ich die Anleitung verlinkt. Dachte es wäre hier in den FAQ gewesen, muss aber noch eine andere Seite gewesen sein.

    Beim Support vom Hoster gefragt oder in den FAQ vom Hoster nachgeschaut?
     
    #10 Melewo, 26. März 2014
    Zuletzt bearbeitet: 26. März 2014
  11. mrcb132

    mrcb132 Member

    Registriert seit:
    6. März 2013
    Beiträge:
    23
    Zustimmungen:
    0
    Ich seh gerade das eine Datei Gestern 25.03.2014 um 20:38 geändert wurde, und das war ich 100% nicht, da ich gestern um die Zeit nicht mehr am Rechner war.
    Es ist die index.php

    Wenn ich diese öffne, steht nur noch der Name drin.
    Jetzt hab ich natürlich ein problem, da ich keine Index.php backup habe.

    Oder ist es eine Standard Datei im Wordpress ?
     
    #11 mrcb132, 26. März 2014
    Zuletzt bearbeitet: 26. März 2014
  12. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Welche Index, die vom Hauptverzeichnis oder vom Theme?
    Die vom Hauptverzeichnis kannst Du Dir doch hier oben rechts herunterladen und dabei gleich ein Versions-Update machen.
     
  13. mrcb132

    mrcb132 Member

    Registriert seit:
    6. März 2013
    Beiträge:
    23
    Zustimmungen:
    0
    Die im Hauptverzeichnis,

    Was mich aber wundert, ich hab 5 verschiedene Webseiten, dem entsprechend auf verschiedene Unterseiten. In Jeden Ordner liegt diese datei mit seinem Namen.

    Wenn ich richtig liege, sollte er, wenn er über Wordpress gekommen ist, nicht zugriff auf alle anderen ordner haben.
    Also muss er über FTP reingekommen sein ?
     
  14. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Könnte sein, möchte mich da nicht festlegen. Doch wenn über FTP, dann hast Du vermutlich Malware auf Deinem Rechner, die jedes neue Passwort gleich wieder ausliest, wenn es unverschlüsselt ist.

    Hatte vor vielen Jahren mal etwas ähnliches mit einer index.html, war ein Forum, nicht WP, aber egal, die Schwachstelle war ein Formular.
     
    #14 Melewo, 26. März 2014
    Zuletzt bearbeitet: 26. März 2014
  15. Gast 64612

    Gast 64612 Gast

    Über PHP hätte ein Hacker Zugriff auf alle Unterordner. FTP ist nicht notwendig.
     
  16. mrcb132

    mrcb132 Member

    Registriert seit:
    6. März 2013
    Beiträge:
    23
    Zustimmungen:
    0
    Ok, bin da leider kein Profi drin, gott sei danke.
    Wie kann man sich davor schützen ?

    Ich hab nun die php durch die Standart Datei aus dem Wordpress ersetzt. Nun geht die Webseite wieder.

    Was sollte ich nun als erstes machen ?

    1. Update des Wordpress plus aller Plugins ?
    2. Danach ein FTP Backup auf dem eigenen oder Externen Datenträger ?
    3. alle erdenklichen Passwörter ändern ?
     
  17. Gast 64612

    Gast 64612 Gast

    Erst das komplette Backup per FTP auf einen eigenen Datenträger und scannen.
    Dann ein Backup der Datenbank.
    Dann alle Dateien auf den Zeitstempel der index.php prüfen. Diese könnten geändert worden sein.
    Eventuell gibt es eine Datei access_log vom Hoster mit der die Hackeraktion nachverfolgt werden kann.
    Die Datenbank untersuchen ob neue User hinzugekommen oder Rechte bestehender User erweitert worden sind.
    Dann Passwörter ändern und Konfig Dateien anpassen.
    Dann Updates durchführen

    wäre meine Vorgehensweise ...

    für dich ist eventuell die Jobbörse hier interessant
     
  18. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Ich halte das alles für unsicher, wenn Du vom Hoster kein Backup einspielen kannst, welches noch sauber war. So weißt Du nicht, ob irgendwo noch Schadcode versteckt ist, den Du nur noch nicht gefunden hast. Somit müsstest Du vor einem Update alle Dateien löschen und in einem leeren Webspace beginnen.

    Was auch nur dann Erfolg hätte, wenn die Datenbank nicht kompromittiert ist.
     
    #18 Melewo, 26. März 2014
    Zuletzt bearbeitet: 26. März 2014
  19. mrcb132

    mrcb132 Member

    Registriert seit:
    6. März 2013
    Beiträge:
    23
    Zustimmungen:
    0
    Hey

    Dann alle Dateien auf den Zeitstempel der index.php prüfen. Diese könnten geändert worden sein. < du meinst nur im FTP Schauen zwecks zeitstempel oder meinst du etwas anderes ?


    Die Datenbank untersuchen ob neue User hinzugekommen oder Rechte bestehender User erweitert worden sind.< Ich gehe von aus, das es nicht reicht, wenn ich im Wordpress direkt unter User schaue ?
     
  20. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    WP kannst Du völlig löschen und neu installieren. Die Plugins kannst Du Dir neu ziehen und Deine Theme-Dateien kannst Du jede einzelne manuell auf verdächtigen Code überprüfen.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden