WordPress Seite gehackt?

maxsei · 19. November 2017

Hallo,

mich erreichte heute morgen eine Mail von All-Inkl, dass meine Webseite mit einem Virus infiziert sei. Immer wenn ich auf meine Webseite gegangen bin wurde ein Download mit einer leeren Datei gestartet. Im Protokoll von All-Inkl war folgendes zu lesen

"20:35:54 Virus "php_obfus_412.UNOFFICIAL" found in file "/www/htdocs/wKUNDENNUMMER/crm.DOMAIN.com/modules/Users/views/edit.Standard.php" (chown: wKUNDENNUMMER:wKUNDENNUMMER | ctime: 2017-11-17 17:43:33 | mtime: 2017-01-06 14:34:12 | chmod: 644) -> File was renamed to "/www/htdocs/wKUNDENNUMMER/crm.DOMAIN.com/modules/Users/views/VIRUS_php_obfus_412.UNOFFICIAL_edit.Standard.php" and locked (chmod: 0)"

In allen Webseiten aus dem Vertrag tauchte im Kundenportal diese und ähnliche Meldung auf. Einige Seiten und Anwendungen laufen noch wie vorher nur alle WordPress-Seiten gehen gar nicht mehr. Auch wenn ich die Datenbank und co. neu mit der Domain verknüpfe kommt nur ein Error. Ich habe leider auch kein Backup der Seiten. Strato macht sowas immer automatisch für mich, aber bei All-Inkl habe ich eben auf die schnelle sowas nicht gefunden.

Was kann ich tun um die Seiten wiederherzustellen?

Vielen Dank schon im Voraus für alle Antworten

Hille · 19. November 2017

All-inkl macht auch automatisierte Backups. Also sauberes Backup einspielen und unbedingt die Sicherheitslücke finden.

JABA-Hosting · 19. November 2017

Wenn ich sowas wie Unofficial lese, dann kann das auch false positive sein.

mensmaximus · 19. November 2017

Zitat von maxsei: ↑

crm.DOMAIN.com/modules/Users/views/edit.Standard.php
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das ist aber kein WordPress Pfad

WebbR · 19. November 2017

Also das sieht nicht nach nem WP-Problem aus, da hat mensmaximus recht.
Erst mal nachsehen was das für ne Datei ist. Ggf. reicht es aus die zu löschen... Ist vielleicht ne Anwendung die Du mal irgendwann installiert hast?

Ansonsten feststellen von wann das Problem ist und Backup einspielen wenn das zeitlich davor erstellt wurde / verfügbar ist.

maxsei · 19. November 2017

Hier die Meldung aus dem Log für WordPress.

"20:35:54 Virus "php_code.as160701.UNOFFICIAL" found in file "/www/htdocs/wVERTRAGSNR/DOMAINs.de/wp-includes/images/smilies/imhnvcxx.php" (chown: wVERTRAGSNR:wVERTRAGSNR | ctime: 2017-11-17 17:43:42 | mtime: 2016-11-05 15:41:03 | chmod: 644) -> File was renamed to "/www/htdocs/wVERTRAGSNR/DOMAIN.de/wp-includes/images/smilies/VIRUS_php_code.as160701.UNOFFICIAL_imhnvcxx.php" and locked (chmod: 0)20:35:54 Virus "php_obfus_600.UNOFFICIAL" found in file "/www/htdocs/wVERTRAGSNR/DOMAIN.de/usage/index.php" (chown: wVERTRAGSNR:wVERTRAGSNR | ctime: 2017-11-17 18:25:33 | mtime: 2017-09-06 14:07:13 | chmod: 755) -> File was renamed to "/www/htdocs/wVERTRAGSNR/DOMAIN.de/usage/VIRUS_php_obfus_600.UNOFFICIAL_index.php" and locked (chmod: 0)"

maxsei · 19. November 2017

Zitat von JABA-Hosting: ↑

Wenn ich sowas wie Unofficial lese, dann kann das auch false positive sein.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Wie meinst du das? Habe an den betroffenen Seiten schon mind. 1 Monat keine Änderungen vorgenommen. Kann mir nicht erklären wie da jetzt so plötzlich was raufgekommen ist.

maxsei · 19. November 2017

Zitat von Hille: ↑

All-inkl macht auch automatisierte Backups. Also sauberes Backup einspielen und unbedingt die Sicherheitslücke finden.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Echt? Das wäre meine Rettung. Aber wo genau finde ich das? Habe jetzt in der Members Area nichts dazu gesehen.

Hille · 19. November 2017

Du musst den Support anschreiben

Edi · 19. November 2017

Zitat von maxsei: ↑

Habe an den betroffenen Seiten schon mind. 1 Monat keine Änderungen vorgenommen. Kann mir nicht erklären wie da jetzt so plötzlich was raufgekommen ist.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Eben, beispielsweise deshalb, weil Du Deine Installation nicht aktualisiert hast.

maxsei · 20. November 2017

All-Inkl hat mir geschrieben, dass sie den Webspace erst zurücksetzen werden, wenn die Sicherheitlücke geschlossen wurde. Ich soll mich dazu an den Webmaster (in dem Fall wohl ich selbst) wenden und eine genaue Analyse betreiben.

Wie soll ich das denn machen wenn die betreffenden Daten gesperrt wurden???

Edi · 20. November 2017

Alles mit FTP, zudem die Datenbanken, auf einen Quarantäne-Rechner herunterladen und untersuchen (also nicht den Rechner, den Du täglich verwendest!). Oder einen Dienstleister damit beauftragen.

JABA-Hosting · 20. November 2017

Wow All-inkl. wird so hochgelobt und da darf der Kunde nicht mal selber entscheiden wann er sein Backup haben darf. Starkes Stück!

Edi · 20. November 2017

Und bei JABA-Hosting laufen gehackte und infizierte Websites noch und noch?! :twisted:

JABA-Hosting · 20. November 2017

@Edi schau mal wie das bei uns abläuft -- klick --

Edi · 20. November 2017

Ich habe mit den Websites meiner Kunden bei all-inkl.com keine Probleme. Und wenn einmal eine Frage auftaucht, ist der Support kompetent und freundlich.

Auch dieses Problem wird sich lösen lassen. Und wenn der TE es möchte, unterstütze ich Ihn gerne bei der Kommunikation mit all-inkl.com.

Mit dem Bashing von Mitbwerbern ist ihm so oder so nicht geholfen.

TmoWizard · 21. November 2017

Zitat von maxsei: ↑

"20:35:54 Virus "php_obfus_412.UNOFFICIAL" found
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Nanu, daß ist ja eine Meldung von ClamAV mit den zusätzlichen inoffiziellen Signaturen! Da ich hier mit meinem Linux natürlich den ClamAV verwende würde ich mal behaupten, daß das eine krasse Fehlermeldung ist --> False flag!

Prüfe deine Website doch bitte mal bei VirusTotal, dann wirst Du es genauer wissen.

b3317133 · 21. November 2017

Zitat von maxsei: ↑

Hier die Meldung aus dem Log für WordPress.

... "found in file "/www/htdocs/wVERTRAGSNR/DOMAINs.de/wp-includes/images/smilies/imhnvcxx.php"
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Eine Datei /wp-includes/images/smilies/imhnvcxx.php gibt es in WordPress nicht, diese dort hinterlassene PHP-Datei ist mit Sicherheit als schädlich einzustufen und ein klares Anzeigen für eine auch weitergehend gehackte Installation. Um das festzustellen, braucht man keinen Scanner...

Das als "false positive" o.ä. zu bezeichnen, kommt daher nicht in Betracht.

Ob der eigentliche Hack über ein z.B. altes WordPress, ein Theme oder ein Plugin kam, oder aber über ein ganz anderes PHP-Script oder über ein geklautes/zu einfaches FTP-Kennwort o.ä., kann man anhand dieses Logs nicht feststellen.

Die Herkunft/Ursache des Hacks ist wohl das, was all-inkl gern geklärt hätte. Denn mit einem älteren einfach nur neu eingespielten Backup wird sich der Hack garantiert wiederholen...

WPDE.org

WordPress Seite gehackt?

maxsei Member

Hille Well-Known Member

JABA-Hosting Well-Known Member

mensmaximus Well-Known Member

WebbR Well-Known Member

maxsei Member

maxsei Member

maxsei Member

Hille Well-Known Member

Edi Well-Known Member

maxsei Member

Edi Well-Known Member

JABA-Hosting Well-Known Member

Edi Well-Known Member

JABA-Hosting Well-Known Member

Edi Well-Known Member

TmoWizard Well-Known Member

b3317133 Well-Known Member

Nützliche Suchen

WordPress Seite gehackt?

maxsei Member

Hille Well-Known Member

JABA-Hosting Well-Known Member

mensmaximus Well-Known Member

WebbR Well-Known Member

maxsei Member

maxsei Member

maxsei Member

Hille Well-Known Member

Edi Well-Known Member

maxsei Member

Edi Well-Known Member

JABA-Hosting Well-Known Member

Edi Well-Known Member

JABA-Hosting Well-Known Member

Edi Well-Known Member

TmoWizard Well-Known Member

b3317133 Well-Known Member