1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Angriff auf Ihren 1&1 Webspace

Dieses Thema im Forum "Webhosting-Provider" wurde erstellt von Jeanette Petert, 18. September 2015.

  1. Jeanette Petert

    Jeanette Petert New Member

    Registriert seit:
    15. November 2013
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo,

    hoffe, ich habe das richtige Forum für meine Frage gewählt.

    Ich erhielt von 1&1 folgende Nachricht:
    Vor wenigen Minuten meldete unser Anti-Viren-Scanner, dass eine schädliche Datei auf Ihren 1&1 Webspace geladen wurde. Der Name der Datei ist:
    ~/performance/wp-includes/wp-arrest.php

    Über Google konnte ich zu der Datei keine Infos finden. Kann mir jemand weiterhelfen?

    Viele Grüße
    Jeanette
     
    #1 Jeanette Petert, 18. September 2015
  2. Brawler

    Brawler Gast

    Lade die Datei runter, öffne sie mit einem Texteditor und poste mal die ersten 20-30 Zeilen hier (je nach dem wie lang die Datei ist).
     
    #2 Brawler, 18. September 2015
  3. sIL3nTwaT3r

    sIL3nTwaT3r Member

    Registriert seit:
    23. Mai 2015
    Beiträge:
    12
    Zustimmungen:
    0
    Wenn es eine Datei ist, der eine Schadsoftware enthält, dann ist der Schadcode binär. Am besten einmal Datei auf dem Rechner runterladen und einen Virenscanner drüberlaufen lassen.
     
    #3 sIL3nTwaT3r, 25. September 2015
  4. Herr Schmidt

    Herr Schmidt Well-Known Member

    Registriert seit:
    29. April 2007
    Beiträge:
    821
    Zustimmungen:
    0
    Prinzpiell brauchst du dir die Datei auch nicht anschauen, denn wenn du sie nicht hoch geladen hast, gibt es eine Lücke auf dem Server, mit der Angreifer spielen können. Also suchen und absichern.
     
    #4 Herr Schmidt, 27. September 2015
  5. Jeanette Petert

    Jeanette Petert New Member

    Registriert seit:
    15. November 2013
    Beiträge:
    4
    Zustimmungen:
    0
    Zunächst meinen Dank an alle für die prompte Antwort und Hilfsbereitschaft. Ich konnte erkältungsbedingt nicht früher reagieren.

    Ich öffnete wp-arrest.php über den FTP-Zugang mittels eines Text-Editors und sehe folgenden Code:
    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Soll ich die Datei so lassen, ändern oder ersetzen?

    Viele Grüße
    Jeanette
     
    #5 Jeanette Petert, 6. Oktober 2015
    Zuletzt von einem Moderator bearbeitet: 6. Oktober 2015
  6. Herr Schmidt

    Herr Schmidt Well-Known Member

    Registriert seit:
    29. April 2007
    Beiträge:
    821
    Zustimmungen:
    0
    Die Datei ist Malware. Dringend löschen und vor allem versuchen heraus zu finden über welche Lücke die Datei online gestellt wurde.
     
    #6 Herr Schmidt, 6. Oktober 2015
  7. Brawler

    Brawler Gast

    wp-arrest.php gehört nicht zum Lieferumfang von WordPress. Bitte vergleiche die Verzeichnisinhalte mit dem Standard-WordPress-Download (oben rechts auf dieser Webseite). Du kannst davon ausgehen, dass weitere Dateien kompromittiert sind. Prüfe Deine Plugins und frag zusätzlich Google - dort findest Du weitere Tipps, denen Du nachgehen kannst.

    Die Installation muss auf jeden Fall bereinigt oder sogar neu aufgesetzt werden (eine Datenbanküberprüfung ist hier auch angesagt). Erst danach solltest Du die Passwörter ändern (alle!).
     
    #7 Brawler, 6. Oktober 2015
  8. Jeanette Petert

    Jeanette Petert New Member

    Registriert seit:
    15. November 2013
    Beiträge:
    4
    Zustimmungen:
    0
    Danke Herr Schmidt und Brawler.

    Ich konnte einen Backup Restore durchführen, darüber in Wordpress Admin gelangen. wp-arrest.php ist nicht mehr im Verzeichnis. Ich aktualisierte die Wordpress-Version erneut, und aktualisierte Theme und Plugins. Ob damit alle Infizierungen weg sind, weiß ich nicht abschließend. Gemeldet wurde seither keine Infizierung. Die Website kann wieder problemlos im Browser aufgerufen werden.

    Vielleicht könnt ihr mir noch weiter helfen:

    Brawler:
    Der Hoster prüft auf Viren, wenn Dateien auf dem Webspace geändert oder neu hochgeladen werden. Wie sinnvoll / ratsam ist es, zusätzlich einen eigenen Virenscan über den Webspace laufen zu lassen? Falls sinnvoll: habt ihr einen Tip? Idealerweise eine kostenfreie oder günstige Lösung. Meinst du das mit Installation bereinigen?


    Herr Schmidt: wie kann ich herausfinden, über welche Lücke die Datei online gestellt wurde?

    Viele Grüße
    Jeanette
     
    #8 Jeanette Petert, 8. Oktober 2015
  9. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.361
    Zustimmungen:
    427
    Hast du nur das Backup wieder eingespielt oder auch sämtliche Passwörter geändert (z. B. FTP und Datenbank) und alle User neu angelegt mit neuen Passwörtern?
     
    #9 SirEctor, 8. Oktober 2015
  10. Brawler

    Brawler Gast

    Massenhoster prüfen nicht nur auf Viren, sondern permanent was die Kunden mit ihrem Webspace so anstellen. Dabei werden insbesondere Skripte (PHP, JavaScript und was es sonst noch so gibt) auf bestimmte Dinge untersucht und im Alarmzustand direkt die "Schotten dicht gemacht".

    So lange Du keinen eigenen Server hast, kannst Du auch keinen eigenen "Virenscanner" nutzen. Du kannst Tools wie bspw. https://sitecheck.sucuri.net/ nutzen - diese schauen aber nur auf die Oberfläche und nicht in das Grundgerüst. Davon abgesehen sichert man sich im Vorfeld ab - wenn ein Tool alarm schlägt, ist es zu spät. ;)

    Für Sicherheit musst Du selber sorgen.

    http://codex.wordpress.org/Hardening_WordPress und https://wpvulndb.com/ sind erste Anlaufstellen.
     
    #10 Brawler, 8. Oktober 2015
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden