Probleme mit Provider und dementsprechend mit Wordpress

Am Besten machst du ein Update von Hand auf die neuste Version.

Aber wenn die Seite gesperrt ist, wird es schwierig was zu machen.

Gute Hoster gibt es

 

Mojn,

die Drei Dateien gehören meines Wissens nicht zum Standard WordPress.

wp-count.php/wp_count.php wird bei Google öfter als Name einer Datei bei WordPress Hacks gelistet, daher nehme ich mal an das die anderen Dateinamen auch in diesem Zusammenhang stehen dürften.

Bezüglich wp-clock.php, setzt du ein entsprechendes Plugin für Zeitanzeige oder ähnliches ein?
Falls nicht, bzw. eine solche Datei sich im Hauptverzeichnis deiner WP-Installation befindet, ist diese garanteirt eingeschleust worden, da eine solche Datei im Standard WP sicher nicht existiert.

Einfach die Dateien löschen wird dir nichts bringen, da mit Sicherheit auch schon anderer Dateien der WP-Installation, oder schlimmstenfalls sogar die Datenbank selber kompromittiert sein dürfte.

Da dies bereits trotz älterem Backup passiert ist, wirst du nicht umhin kommen dir einen Profi zu beauftragen.

Hast du auch die Passworte alle geändert, wie es immer empfohlen wird?

Du solltest dir jedenfalls Professionelle Hilfe im Job-Forum suchen, es gibt hier ein paar User welche sich auf solche Fälle spezialisiert haben.

 

Wenn deine Webseite Schadcode enthält - und deine Besucher sich diesen Trojaner oder Virus installieren - dich dann vor lauter Begeiterung Schadenersatzpflichtig machen. (Trojaner Beseitigung kann teuer ... richtig teuer werden.

Trojaner Emotet bei Heise: Schäden von weit über 50.000 Euro
https://www.heise.de/security/meldung/Emotet-bei-Heise-Schaeden-von-weit-ueber-50-000-Euro-4444155.html

Wenn du also eine Schadenersatzforderung hast - würdest du dann sagen: der Provider hätte mich doch wenigstens über die "angebliche Schadsoftware" informieren und meine Seite vom Netz nehmen können?

wp-clocks.php, wp-count.php und wp_count.php sind nicht Teil von WordPress. Vermutlich hat ein Hacker hier diese Dateien sich erstellt und hatte damit schreibrechte auf deinem System.

Ich hatte diese gelöscht und mich an den Provider gewandt und ihm das mitgeteilt.

möchtest du faxen? oder gar telefonieren?

Löschen von einzelenen Dateien bringt in der Regel nicht viel. Du musst die Sicherheitslücke finden und diese schließen. Eine Sicherheitslücke kann ein Plugin oder ein Theme sein. Besonders beliebt sind die Sicherheitslücken in gekauften Themes.

Zu einem Provider der dich nicht über Schadecode informiert?

 

Ich kann den Provider verstehen. WordPress ist eine Drittanwendung und dein Provider hat damit nichts zu tun. Es wird sicherlich auch nicht seine Aufgabe sein Sicherheitslücken zu finden. Also warum dann einen telefonischen Support einrichten? Dieser Support würde dir dann antworten, dass sie dir nicht weiterhelfen können.

Dir wurde geraten dich an einen Profi zu wenden, der dich bei deinem Problem unterstützt. Was anderes kann ich dir auch nicht raten. Wenn die Lücke gefunden und beseitigt ist und sämtliche Dateien und ggf. die Datenbank wieder sauber sind, dann wende dich an den Provider. Nur einzelne Dateien löschen bringt nichts.

Welches Plugin für die Backups nutzt du?

 

Schau mal hier: https://backwpup.de/doku/wie-wordpress-backup-wiederherstellen/
Ab Punkt 2 wird es interessant, außer du hast die Pro Version.

 

Hallo Holger!

Hast Du den Schadcode bereits entfernen können? Vorher wird Dir das Abuse Team auch keine Freischaltung erteilen! Um welche Domain handelt es sich?

Wenn Du, wie beschrieben, bereits 2 Wochen an der Sache arbeitest und noch immer keine Lösung in Sicht ist - würde ich schleunigst über einen Umzug zu einen anderen Hoster empfehlen!

Hierzu gibt es im Forum und im Netz genügend Empfehlungen!

Wenn Dir Support, Leistung usw. sehr wichtig ist, kann ich Dir mit besten Wissen all-inkl empfehlen!

LG

 

Wechsel kannst du jederzeit, da ist die Vertragslaufzeit kein Hindernis. Das einzige ist das du bis zum Vertragsende zahlen musst.

 

Das ist wirklich ein Graus bei Strato.
Erstmal benennen die nur bröckchenweise die Schaddateien (womit wahrscheinlich erreicht werden soll, dass der Kunde selbst umfassend prüft/prüfen lässt).
Dann ist der phpMyAdmin auch noch gesperrt, was das Ganzte zusätzlich erschwert.
Und zu guter Letzt dauert jede Rückmeldung 3-5 Tage.

Ich würde dir empfehlen WordPress mit allen Plugins und dem genutzten Theme neu zu installieren (z.B. lokal per XAMPP) und dann die alte Datenbank zu verbinden.

• Bei Strato alles herunterladen/sichern
• Auf dem Webspace alles löschen bis auf die wp-config.php (reinschauen, ob da alles i.O. ist)
• WordPress lokal installieren
  
• Das Theme installieren (oder aus originaler Quelle heruntergeladen in wp-content/themes platzieren)
  
• Die Plugins frisch installieren
  
• wp-content/uploads aus dem Original übernehmen (vorher schauen, dass keine PHP Dateien dabei sind)
• Das Ganze wieder zu Strato hochladen
• Zusammen mit der in vorheriger wp-config.php konfigurierten Datenbank sollte dann alles wieder da und sauber sein

Wenn du direkt umziehen willst (oder das Ganze vor der Rückübertragung auch noch lokal inkl. der alten Datenbank testen wilst), kannst du per SSH einen SQL Dump generieren.
https://www.strato.de/faq/hosting/so-einfach-koennen-sie-per-ssh-auf-ein-backup-ihrer-mysql-datenbank-zugreifen/

Nach einem Hack solltest du die Datenbank/SQL Datei unbedingt auch noch nach <script Injections durchsuchen (STRG+F "<script").

Abgesehen von der Support Reaktionszeit und dem grottigen Malware Handling find ich Strato super..

Gruß

Pascal

 

Das alles bringt nur kurzfristig was, wenn man die Sicherheitslücke nicht findet.

 

Ich finde den Beitrag von @pascal88 auch eher schwierig.
Er meint wahrscheinlich das richtige, allerdings ist das sicher keine vollständige Lösung zur Behebung eines Hacks. In der Praxis ist es oft nicht so eindeutig und, wie @SirEctor schon schreibt, sollte vor allem die Ursache des Hacks gefunden und behoben werden. Das Bereinigen allein hilft sonst wenig.

Auch wenn ich jetzt keine Lanze für Strato brechen will... In dem Fall liegt die Verantwortung ganz klar bei @Holger F und nicht bei Strato. Die Analyse und Behebung eines Hacks ist Sache des Kunden und nicht des Hosters.

 

Korrekt.
Wie von mir beschrieben ist dann so jedenfalls alles aktuell und im Originalzustand - mögliche weitere beim Hack hinterlassene Backdoors, die von Strato beanstandet werden könnten, nicht mehr existent.

Laut Strato gab es ja zumidest zeitweise ausstehende Updates.
Die Chance, dass man sich ein momentan angreifbares Plugin direkt aus dem offiziellen Pluginverzeichnis installiert, ist verschwindend gering. Denn die werden entweder sehr schnell aktualisiert oder entfernt.

Ich wüsste deshalb nicht, was an meinem Beitrag schwierig oder gar "falsch" sein sollte.

Wenn es um das Finden der Sicherheitslücke geht, macht eine Analyse der Access Logs Sinn.
@Holger F Die der letzten 6 Wochen kannst du dir hier herunterladen:
https://www.strato.de/faq/hosting/wo-finde-ich-meine-logfiles/#logfiles_herunterladen
Dann gern zur Prüfung hochladen.

 

Ich finde den Beitrag ganz OK. Es fehlt nur noch der Zusatz das Theme zu aktualisieren sowie alle Plugins auf den neusten Stand zu bringen.
Zusätzlich sollte man noch prüfen, ob ein Plugin überhaupt noch gepflegt wird. Wenn nicht, dann muss man das Plugin entfernen.

Danach sollte man ein Security Scanner laufen lassen, was Strato auch nur macht. Gibt der Scanner grünes Licht, wirst du es auch von Strato erhalten.

 

Das ist gar nicht mal so unwahrscheinlich. Siehe z.B. Yuzo Related Posts, Ultimate Member oder Easy WP SMTP. Nur weil ein Plugin aktuell ist, kann es trotzdem Lücken enthalten, die aktiv ausgenutzt werden. Und das sind jetzt nur ein paar populäre Beispiele, die mir spontan einfallen, weil sehr viele Installationen betroffen waren.

Falsch habe ich nicht gesagt. "Schwierig" finde ich es deshalb weil du (wie gesagt) die Ursachenfindung komplett weglässt. Ansonsten ist das schon ok so. Du beschreibst halt die Bereinigung der Installation. Allerdings halt auch viel "auf gut Glück", weil du nicht erklärst, wie man betroffen Dateien findet, den Hack möglicherweise identifizieren kann, etc. Das führt hier in einem Forenbeitrag auch sicher zu weit. Aber daraus ergibt sich ja auch erst das weitere Vorgehen. Jetzt einfach mal nach einem Script-Tag in der Datenbank suchen kann man natürlich machen, ist aber schon ziemlich ins blaue geschossen.

Ich bezweifle ja nicht, dass du weißt, wie es richtig und vollständig geht. Aber deinen Beitrag werden eben möglicherweise auch viele Laien lesen und davon ausgehen, dass man so einen Hack behebt und das ist eben nur die halbe Wahrheit.

Wenn man "nur" bereinigt sollte man seine Installation zumindest in nächster Zeit dringend überwachen und dann nicht warten, bis Strato wieder E-Mails schickt. Dazu eignet sich zum Beispiel das Plugin Wordfence (auch wenn ich generell kein großer Befürworter von Sicherheitsplugins bin, ist der Einsatz in solchen konkreten Fällen durchaus sinnvoll).

 

Der erste und wichtigste Punkt ist: Anhand Server-Logs & Backups feststellen, wann/woher der Hack kam, Lücke identifizieren, Lücke schliessen.

Danach kann man sich ans Neueinrichten oder Bereinigen usw. machen.