1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Was kann man da tun?

Dieses Thema im Forum "Allgemeines" wurde erstellt von Gast 112689, 15. Oktober 2019.

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Hallo,
    seit geraumer Zeit habe ich ein Geist in meinem Blog. Der Geist nennt sich D D und schreibt überwiegend in englischer Sprache. Wie kann ich den Sperren? Als Benutzer steht dieser nirgendwo. Und seine Kommentare Nerven. Nur ein Passwort wechsel nutzt wohl kaum etwas. Er muss Zugang haben, aber woher???
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Die Registrierung neuer Benutzer ist lt. einem kleinen Test bei Deinem Blog aktiv. Die Standardrolle "Abonnent", die man dabei bekommt, erlaubt aber noch nicht das Posten von Beiträgen. Evtl. läuft ein fehlerhaftes Plugin o.ä., mit dem man diese Benutzerrolle höher "hacken" kann.

    Oder es gibt eine ganz andere Lücke, über die man einen passenden Benutzer anlegen kann.

    Lt. Google-Cache gab es übrigens sehr wohl einen Benutzer D D in Deinem Blog, der WordPress Benutzername war "test", Du hast den offenbar gelöscht, oder er sich selbst? Die beiden erfassten Beiträge waren vom 23. August und vom 03. September 2019.

    spam.png

    Am Rande bemerkt: Etwas seltsam erscheint mir, dass ein Benutzer als "Abonnent" auf dem Dashboard die letzten paar "WPS Limit Login" Sperren fremder Versuche inkl. kompletter IP-Adressen sehen kann, das sollte doch eher nicht sein. Der Gedankengang hier ist dann auch: Wenn ein Plugin sowas undurchdachtes macht, was erlaubt es ggf. dann noch so alles...

    Und was man tun kann, nunja, man kann versuchen, anhand von Backups und Logfiles usw. nachzuvollziehen, wie der Benutzer "test" und ggf. andere angelegt wurde(n) und die entspr. Lücke schliessen.

    Evtl. ist auch "nur" Dein Admin-Kennwort zu leicht zu erraten oder Dein PC o.ä. ist gehackt, so dass jemand das Kennwort mitlesen kann oder Du verwendest das gleiche Kennwort noch anderso, wo es jemand gefunden hat o.ä., es gibt da viele Varianten...
     
    #2 b3317133, 16. Oktober 2019
    Zuletzt bearbeitet: 16. Oktober 2019
  3. Hallo,

    also ich kenne mich nicht so aus und weiß auch nicht welches Plug-In dafür verantwortlich wäre. Lege mal eine Liste dabei von Plug-Ins, die mir so empfohlen wurden. So wurde es mir von Kollegen empfohlen!

    Warum jeder sofort Abonnent ist, keine Ahnung. Warum sich jeder anmelden kann, könnte sein, dass das am Ende nicht abgestellt wurde.

    Wie und wo kann ich feststellen, welches Plug-Ins, die Fehler verursacht?

    Zu einem Benutzer D D, dazu kann ich nichts sagen. Ist mir auch nicht bekannt. Der, der sich um den Blog kümmern wollte, ist seit langem nicht erreichbar.

    Vielleicht war das auch noch ein Schnipsel von dem Kollegen, was nicht entfernt wurde. Wie kann ich entsprechende Lücken schließen?

    Es wird täglich geprüft, durch G-Data und andere Progs, aber nichts zu finden. Das können wir mal ausschließen. Kennworte sind niemals doppelt oder mehrfach verwendet und werden niemals öffentlich ausgelegt. An meine Passwörter heranzukommen, würde aussichtslos werden.

    Jetzt wären Tipps, nicht schlecht. Also ich wüsste mir nicht zu helfen. Registrierung neuer Benutzer ist jetzt abgestellt.

    1.JPG 2.JPG
     
    #3 Gast 112689, 16. Oktober 2019
    Zuletzt von einem Moderator bearbeitet: 16. Oktober 2019
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Hm, seltsam, oben beschreibst Du diesen Benutzer als denjenigen, der seltsame Beiträge schreibt und als "Geist".
    Dann solltest Du wohl jemand anderen beauftragen.
    Erstmal muss man die Lücke(n) finden.
    Dann solltest Du wohl jemand beauftragen.

    Fakt ist: Es gab im August und September einen Benutzer "test" mit Namen "D D", der in Deinem Blog mind. zwei Beiträge zu üblichen SEO-Spam Themen veröffentlicht hat. Du weisst nicht woher der Benutzer kam und warum er nicht mehr existiert. Die ganze Installation ist damit als kompromitiert (auch "gehackt" genannt) zu betrachten.

    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben.

    Alternativ versuche (ggf. mit mehr Nachdruck) die Person zu erreichen, die den Website eingerichtet hat oder suche jemanden für eine Ursachensuche und Bereinigung in Deinem lokalen Umfeld oder z.B. über die Jobbörse hier im Forum.
     
  5. Zu D D, das war eine Mutmaßung. Ich gehe nie so tief in die Einstellungen und darum kann ich mir kein Bild machen, wer das gewesen sein sollte. Irgendwie muss es hingekommen sein. :(
     
  6. In Blackhole for Bad Bots 2.6 habe ich in der "Whitelisted IPs" IPS gefunden, die aus Amerika und Frankreich sind. Sollte es das Programm sein, was die Türen öffnent?
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Der Name "D D" steht in Deinem ersten Posting. Und in Antwort #2 siehst Du u.a. den Benutzer "D D" auf Deinem Website im dort eingebundenen Screenshot von Google. Und jetzt ist er Dir nicht bekannt und nur eine Mutmaßung. Muss man nicht verstehen... :rolleyes:
    Dann solltest Du wohl jemand beauftragen, der das macht.
    Ich kenne dieses Programm nicht, frage dazu den, der es installiert hat oder analysiere die Logfiles nach Zugriffen darauf bzw. analysiere den Code des Programms.

    Ansonsten siehe die Ausführungen und den Link in Antwort #4. Bin hier raus, viel Erfolg.
     
  8. Ich kann deinen Zorn nicht verstehen! Ich sehe, was du mir sagen willst, aber "Der Name "D D" steht in Deinem ersten Posting." verstehe ich nicht. Ich habe kein test, ich habe kein D D eingebaut oder ein Beitrag gesetzt. Was sollte mir das auch bringen???? Mein Initialen sind nicht D D

    Kannst du mir den Beitrag mal zeigen oder einen Weg dahin? Vielleicht hilft mir/uns das weiter.

    DANKE!
     
  9. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Das ergibt den Screenshot in #2.

    Du schreibst, es gibt einen Geist "D D" in Deinem Blog aber es gäbe keinen Benutzer dazu. Wenn man Dir erklärt, dass es den im Google-Cache noch gibt, und was zu tun wäre, um das alles weiter zu hinterfragen und dass sich jemand fachlich kompetentes darum kümmern sollte, scheint Dich das nicht zu interessieren und Du schreibst, Dir wäre nichts davon bekannt.

    Den Benutzer und die Beiträge hast Du seit der Google-Erfassung offenbar schon gelöscht oder er sich selbst, wie auch immer...

    Mehr als erneut nett auf Antwort #4 zu verweisen, kann ich nicht tun.
     
  10. Erst einmal Danke für den Url. Ich komme dabei auf eine Seite mit dem Hinweis,

    Seite nicht gefunden
    Die Seite konnte nicht gefunden werden, vielleicht hilft die Suchfunktion weiter.

    Werde mir jetzt vom Provider die www_logs abholen lassen. Dann werde ich die Dateien nach D D durchsuchen lassen. Mal sehen was dabei rauskommt. Wie komme ich an die Log von WP? Ich kann nur sagen, das ist nicht von mir. Ich glaube mal, das der Kollege damit experimentiert hat.

    Danke für deine Hilfe, bis hier her.
     
  11. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Hast Du die Antwort #4 überhaupt nur ein einziges Mal gelesen? Und alle anderen Antworten? Dort steht mehrfach, dass es den Benutzer und die Beiträge aus dem Google-Cache nicht mehr gibt, warum auch immer, und sowas führt dann logischerweise zu einer 404 Seite... egal, Ende, aus, viel Erfolg.
     
  12. Fakt ist: Es gab im August und September einen Benutzer "test" mit Namen "D D", der in Deinem Blog mind. zwei Beiträge zu üblichen SEO-Spam Themen veröffentlicht hat. Du weisst nicht woher der Benutzer kam und warum er nicht mehr existiert. Die ganze Installation ist damit als kompromitiert (auch "gehackt" genannt) zu betrachten.

    Ich habe den D D gestern herausgeworfen. Außerdem, war ich nachweislich, dass letzte mal am 29. August 2019 im Blog.
    Bin seit gestern das erste Mal wieder drin gewesen. Willst Du einen Beweis, etwa ein Entlassungsbrief vom Augusta Krankenhaus?

    Egal! Wünsche dir was.

    NACHTRAG: Ich muss mich korrigieren. Mein letzter Beitrag war am 21. August 2019 im Blog.
     
    #12 Gast 112689, 16. Oktober 2019
    Zuletzt von einem Moderator bearbeitet: 16. Oktober 2019
  13. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.857
    Zustimmungen:
    437
    @Tagwerker die Empfehlung von @b3317133, jemanden mit der forensischen Analyse zu beauftragen, würde ich tatsächlich in Erwägung ziehen. Du hast deutlich zum Ausdruck gebracht, dass Du unbedarft bist. Es ist in Deinem Fall quasi unmöglich über das Forum konkret zu helfen. Das artet nur in Glaskugellesen aus, was Dich nicht weiter bringt.
     
  14. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Und dann kommt allen Ernstes das:
    Gesamt gesehen ist schon klar, dass das ganze eine Extremsituation für Dich bedeutet, daher erneut der Rat: Suche Dir bitte dringend jemanden, der Deine Seite zuverlässig technisch betreut, wenn sie gehackt bleibt, und weiter/mehr/anderer Spam darüber publiziert wird, wird sie Dein Provider früher oder später abklemmen.
     
  15. Wie ich schon beschreiben habe, habe ich keine Ahnung. Habe mich auf andere verlassen. Wenn ich nur ein Teil euer wissen hätte, müsste ich keinen um Hilfe bitten.

    " ... habe ich ein Geist in meinem Blog."

    Wie hätte ich des Anfangs beschreiben sollen? Mir fiel in diesem Moment nichts anderes ein.

    Egal, ich werde hier keine Hilfe mehr holen. Löscht meinen Zugang!
     
  16. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    z.B. statt "Als Benutzer steht dieser nirgendwo." hättest Du schreiben können "Ich habe den D D gestern herausgeworfen."
     
  17. Klar! Gestern nach Hause gekommen, nachgesehen was es neues gibt. Schreck, viele misst Beiträge. Woher! Alles in Englisch. Schnell versucht alles zu entfernen. Beiträge und alles drum rum. Dabei auch in der Hektik diesen Namen und viele, was nicht notwendig war zu löschen. Einfach nur PANIK!

    Sorry, wenn ich mich so unverständlich und kompliziert ausgedrückt habe. Dass ich nicht alles sofort zusammen bekommen habe. Dass ich mich hier überhaupt gemeldet habe.

    Löscht einfach meinen Account und gut ist es. Am besten die ganzen Beiträge mit.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden