1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP <5.0 Angriff auf Website

Dieses Thema im Forum "Allgemeines" wurde erstellt von HWSchaefer, 29. September 2018.

  1. HWSchaefer

    HWSchaefer Member

    Registriert seit:
    29. September 2018
    Beiträge:
    5
    Zustimmungen:
    1
    Guten Tag.

    Daß ich hier neu bin wird man sicher irgendwo sehen können. Ich betreibe eine Website www.gerlach-schaefer.de. Sie ist im Moment auch für mich nicht erreichbar, und ich habe vom Provider 1&1 folgende Mail erhalten:

    "
    Sehr geehrter Herr Schäfer,

    hiermit erhalten Sie eine dringende Nachricht zu Ihrem 1&1 Vertrag.

    Vor wenigen Minuten hat unser Anti-Viren-Scanner erkannt, dass eine schädliche Datei auf Ihren Webspace geladen wurde. [...]"

    Nun hat mein Webmaster seine Tätigkeit eingestellt und weilt derzeit nicht in Deutschland, kann mich also nicht unterstützen.

    In der Mail habe ich dann eine Liste erhalten von Dateien, welche von Dritten hochgeladen worden seien mit dem Rat, diese zu löschen. Das habe ich bereits getan.

    Eine weitere Aufzählung enthält Dateien, welche modifiziert worden sein sollen. Diese soll ich überprüfen und notfalls aus einem nicht infizierten Backup erneut hochladen. Jetzt fängt das Problem an: im Ordner wp-content liegt ein Ordner updraft mit Sicherungsdateien. Wie aber soll ich die modifizierten Dateien dort herausfinden?

    Da wäre ich doch für Ratschläge sehr dankbar.

    Mein Wissen über Webhosting und dergleichen hält sich sehr in Grenzen.
     
  2. Marcus[IS]

    Marcus[IS] Well-Known Member

    Registriert seit:
    23. August 2009
    Beiträge:
    5.955
    Zustimmungen:
    175
    Hi,

    Damit ist es natürlich nicht getan, da die Sicherheitslücke ermittelt werden muss.
    Wenn 1&1 nicht mitgeteilt hat, über welche Datei der Zugriff erfolgt ist, muss man die Log Dateien für die Zugriffe prüfen und dort nach dem Dateinamen der hochgeladenen Datei suchen. Nur so bekommt man heraus welche PHP Datei oder Skript den unautorisierten Dateiupload ermöglichte.

    Hier wurde wohl mit einem Backup Plugin gearbeitet und ich vermute jetzt mal das UpdraftPlus verwendet wurde.
    Wenn UpdraftPlus verwendet wurde, sollten im Updraft Ordner diverse gepackte Datei Archive vorzufinden sein.
    Diese müsstest du herunter laden und entpacken, damit du die einzelnen Dateien für die Wiederherstellung verwenden kannst.
    Das ist allerdings ziemliche Frickelarbeit, daher ist es einfacher eine neue WP Installation aufzusetzen und dann mittels des Plugin eine Wiederherstellung der alten Installation durchzuführen.

    Doch auch auf diesem Weg ist die Sicherheitslücke höchst wahrscheinlich wieder vorhanden und könnte vom Hacker erneut ausgenutzt werden. Daher wie ich oben bereits geschrieben hatte, muss diese Lücke gefunden und beseitigt werden.
     
  3. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Der Website wurde mit sehr hoher Wahrscheinlichkeit gehackt, vermutlich mehrfach.

    Üblicherweise würde man jetzt erstmal ein Komplettbackup im gehackten Zustand erstellen, damit man später nachvollziehen kann, wo die Lücke war. Das geht nicht mehr ganz, weil Du schon Dateien gelöscht hast. Daher jetzt noch vom gesamten Rest ein Backup machen, alle Dateien per FTP in einen lokalen Ordner runterladen und dann in ein .zip sichern.

    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben.

    In Deinem Fall würde man die aktuelle Installation mit frisch heruntergeladenen sauberen Core-, Plugin- und Theme-Dateien vergleichen, die Unterschiede notieren, dann durch Vergleich mit den Updraft Dateien nachschauen, ab welchem Zeitpunkt die ersten dieser Unterschiede aufgetreten sind, dann über das Datum dieses Backups anhand der Serverlog Dateien die Lücke identifizieren wenn möglich.

    Dann alle alten Dateien komplett vom Server löschen, ein Backup vor dem ersten Unterschied mit einer Neuinstallation verwenden, die gefundene Lücke schliessen, und alle Passwörter ändern (WordPress, FTP, Datenbank).

    Alternativ professionelle Hilfe z.B. über die Jobbörse hier im Forum suchen.
     
  4. HWSchaefer

    HWSchaefer Member

    Registriert seit:
    29. September 2018
    Beiträge:
    5
    Zustimmungen:
    1
    Hallo und guten morgen.
    Danke für die sehr interessanten Antworten. Ich denke, ich werde mir professionelle Hilfe hier vor Ort suchen, dann kann gleich mein Rechner mit überprüft werden. Denn das alles überfordert mich einfach. Danke.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden