umleitung gehackte webseite

Hallo,

ich habe gerade festgestellt das wenn ich meine Webseite www.shape-productions.com aufrufe ich zwar noch auf die Startseite komme diese aber weder meine theme anzeigt sondern nur noch Text und Links. Wenn ich dann auf einen der Links klicke werde ich auf eine Fehlerseite einer anderen mir nicht bekannten webseite weitergeleitet. Alle Links auf meiner Startseite bringen mich auf die selbe Fehlerseite. Ein link der zu unserer Artisten Seite führt funktioniert aber ohne Probleme. Ich habe weder ein Plugin upgedatet oder sonst irgendwas an der Webseite oder im Backend verändert.

Kann mir einer sagen ob ich gehackt worden bin oder wo der Fehler liegen kann? und wenn gehackt was ist die beste vorgehensweise wenn wir die Daten nicht gespeichert hatten bis jetzt. Können wir die Daten jetzt noch sichern und bringt das was?

Vielen Dank für eure Hilfe.

Frank

 

So ich hab noch ein paar sachen herrausgefunden und möglicherweise kann mir dann jemand sagen wie mann am besten vorgeht:

in der .htaccess datei ist ein redirect eingetragen zu dieser adresse: http://gabriellerosephotography.com/emas.html?h=1315489 ich kenn die Adresse nicht und hab diese och sicher nicht eingetragen.

Ich hab versuchsweise mal die .htaccess gelöscht browser daten gelöscht und dann nochmal versucht auf unsere Seite zu zu greifen aber ohne erfolg. ebensowenig bin ich danach ins Backend gekommen. als ich dies versucht habe bin ich wieder umgeleitet worden bzw. der ladevorgang zeigte an das ich umgleitet werde.

Ebenso habe ich eine crossdomain.xml gefunden die ich nicht zuordnen kann.

Kann mir einer sagen wie ich am besten vorgehe und wo ich überall suchen muss um die redirects rückgängig zu machen?
Und wie zum Geier diese umleitung zustande gekommen sein kann?

Merci schon mal im vorraus

 

So nach dem ich ne nacht die daten auf unserem server verglichen habe sind noch einige Sachen auffällig geworden.

Als allerstes sind .htaccess dateien in allen möglichen Bereichen zu finden die auf die oben genannte Fehlerseite umleiten wie z.b. im theme in den plugins etc...

Desweitern sind die default.php dateien am selben Tag verändert bzw. bearbeitet worden laut Anzeige zwar 6 stunden später aber alle zum selben zeitpunkt.

Nun stellt sich die Frage soll ich alle .htaccess löschen und zu sehen das ich die default.php nochmal neu hochlade ?

Und wie finde ich herraus wo die Sicherheitslücke ist. liegt es an der veralteten WP oder an den Plugins ?

Hier noch ne Pluginliste die wir auf der Seite haben:

google-xml-sitemaps with qtranslate
lightbox-plus
majpage-menu-class extender
qtranslate
smart slideshow widget
ps disable auto formatting
wordpress importer
widget logic visual
tinymece advanced
jw player plugin for wordpress
vibe seo pack
seo image
seo rank reporter
contact form 7
sociable
slick social share buttons

Hoffe auf Hilfe

Frank

 

Hallo Infected,

danke schon mal für den Hinweis mit den default.php da ich davon einige auf unserer anderen Webseite auch entdeckt allerdings läuft die einwandfrei.
Zu deiner Frage nein wir nutzen nur WP.

Hast du bereits versucht die Dateien zu löschen und damit zumindest wieder ins Backend zu kommen ?

Und wie du gesagt hast sind einige js dateien auch verändert worden.

Ich werd mal versuchen alle zu löschen und neu aufzuspielen und mal sehen was passiert.

 

So hier mal ein Überblick:

Ich habe alle .htaccess dateien und alle default.php dateien gelöscht und alle .js dateien die im Wordpress Ordner wp-included verändert worden sind gelöscht und neu aufgespielt.

Ich komme jetzt wieder ins Backend und meine Seite wird wieder einwandfrei angezeigt.

Allerdings kann ich nicht sagen wo die Sicherheitslücke liegt.

Für ne weitere Vorgehensweise bzw. Vorschläge etc.. bin ich offen

lg

frank