1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

neuer Benutzer registriert???

Dieses Thema im Forum "Allgemeines" wurde erstellt von cat4net, 8. November 2018.

  1. cat4net

    cat4net Member

    Registriert seit:
    16. April 2017
    Beiträge:
    8
    Zustimmungen:
    0
    Hallo,

    ich hatte heute auf literaturelle.de eine Meldung, dass sich einer neuer Benutzer angemeldet hat als Administrator !!!
    Ich habe nicht erlaubt, dass sich auf meinem Blog neue Benutzer registrieren dürfen und habe KEIN Häkchen dort unter Allgemein/Einstellungen gesetzt.

    Der Benutzer war eine komische Email-Adresse, die mir mitgeteilt wurde.

    Ich bekam folgendes mitgeteilt:

    Neue Benutzerregistrierung auf deiner Website literaturELLE:
    Benutzername: ...
    E-Mail: ...@mail.com

    Ich habe den Benutzer gelöscht und dann mein PW geändert. Muss ich mir Sorgen machen???
    Danke :*
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Solange nicht exkat geklärt ist, wie genau der neue Benutzer angelegt wurde, z.B. über die Access Logs des Servers, musst Du Dir in der Tat Sorgen machen.

    Es kann z.B. an einem zu schwachen Passwort Deines Admin-Accounts liegen, es kann aber auch eine vorhandene Sicherheitslücke oder Backdoor im Theme oder in einem Plugin der Grund sein, oder ein zu schwaches FTP-Kennwort, oder ein Trojaner auf Deinem PC, oder anderer Software die auch auf dem Server installiert ist, usw.

    Sind die installierten Plugins ggf. ähnlich alt wie das genutzte Spun Theme (ca. 5 Jahre nicht mehr aktualisiert)?
     
    cat4net gefällt das.
  3. FloRet

    FloRet Well-Known Member

    Registriert seit:
    20. September 2016
    Beiträge:
    1.197
    Zustimmungen:
    91
    Hast Du folgendes Plugin installiert, und nicht aktualisiert? https://wordpress.org/plugins/wp-gdpr-compliance/ - Weitere Infos der Entwickler: https://www.wpgdprc.com/wp-gdpr-compliance-v1-4-3-security-release/

    Dort wurde gestern eine große Sicherheitslücke entdeckt und mit der neuesten Version geschlossen.

    Dieses Sicherheitslücke beschert nun tausende Angriffe auf Wordpress Seiten mit veralteten Plugin, womit es auch möglich ist neue Benutzer als Admin anzulegen!

    EDIT: Ja - die Seite ist von der Sicherheitslücke betroffen und es wird DRINGEND zu einem Update des Plugins geraten!

    LG
     
    Stiane und cat4net gefällt das.
  4. cat4net

    cat4net Member

    Registriert seit:
    16. April 2017
    Beiträge:
    8
    Zustimmungen:
    0
    Ich habe immer alle Updates gemacht und heute nach dem Vorfall die neuesten... plus PW-Änderung. Was kann ich noch tun?

    Habe das Update nach der Löschung des Benutzers gemacht und mein PW geändert. Was kann ich noch tun :/ Lg

    Soll ich deswegen mein geliebtes Theme wechseln? Grüße!

    Danke. Habe es nach dem Update deaktiviert. Oder ist das Quatsch? LG
     
    #4 cat4net, 8. November 2018
    Zuletzt von einem Moderator bearbeitet: 8. November 2018
  5. FloRet

    FloRet Well-Known Member

    Registriert seit:
    20. September 2016
    Beiträge:
    1.197
    Zustimmungen:
    91
    Du solltest unbedingt überprüfen, ob von diesem Nutzer Änderungen an Deiner Seite durchgeführt worden sind.
    Um dies nachzuvollziehen, solltest Du Dir von Deinen Hoster das access.log besorgen (wenn nicht am FTP selbst vorhanden) und die Zeiten nach Anlegen des neuen Administrator-Kontos kontrollieren, ob dort viele Aufrufe des Backends mit der Selben IP getätigt wurden.

    Du solltest dies unbedingt einmal Andenken. Nicht nur das sich dort auch noch Sicherheitslücken befinden können, sondern auch nicht mehr zeitgemäß sein dürfte - Responsiveness (Mobile-First Index von Google) u.v.m.

    Yep, mit diesen Update sind nämlich die gefundenen Sicherheitslücken nicht mehr vorhanden!

    LG
     
    cat4net gefällt das.
  6. cat4net

    cat4net Member

    Registriert seit:
    16. April 2017
    Beiträge:
    8
    Zustimmungen:
    0
    Ohje. Ob ich das hinbekomme? Ich versuche es! Schau mal bitte im Anhang - jetzt mach ich mir echt Sorgen... ICH war das nicht heute früh.

    Was genau meinst Du damit? help please :)

    Na gut, ist wieder aktiv ;)
     

    Anhänge:

    #6 cat4net, 8. November 2018
    Zuletzt bearbeitet: 8. November 2018
  7. KidIkarus

    KidIkarus New Member

    Registriert seit:
    8. November 2018
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo!
    Meinen Blog hat es auch erwischt. Das ganze kam bei mir von einer russischen IP Adresse. Hier der anonymisierte Auszug aus dem Log:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Ich habe das plugin aktualisiert. Danach wurde das gleiche noch 2x versucht, allerdings ohne Erfolg.
    Nun die frage... was tun?
     
  8. misaf

    misaf Well-Known Member

    Registriert seit:
    28. Oktober 2012
    Beiträge:
    77
    Zustimmungen:
    0
    Hallo,

    ja habe soeben einen anderen Thread aufgemacht und lass nun hier das selbe Problem. Ok, die Updates wurden jetzt nachgeholt. Scheinbar war auch bei mir das Problem mit dem wp-gdpr - Plugin. Hoffe das nun das Einfalltor geschlossen wurde.

    Gruß Mike
     
  9. KidIkarus

    KidIkarus New Member

    Registriert seit:
    8. November 2018
    Beiträge:
    4
    Zustimmungen:
    0
    Die Frage ist eben, ob wirklich nur der Benutzer angelegt wurde oder ob z.B. noch Schadcode eingeschleust oder sonstiges geändert wurde.
     
  10. cat4net

    cat4net Member

    Registriert seit:
    16. April 2017
    Beiträge:
    8
    Zustimmungen:
    0
    Und wie bekomme ich das heraus?
    VG
     
  11. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    90
    Zustimmungen:
    11
    Schau in die Access Logs.

    Ich habe das hier etwas genauer beschrieben (WIP).

    Bei einer Seite war es gestern Abend das volle Programm - ca. 200 veränderte PHP und JS Dateien inkl. Datenbank Injections. Es lohnt sich also das genauer zu überprüfen.
     
    KidIkarus und FloRet gefällt das.
  12. KidIkarus

    KidIkarus New Member

    Registriert seit:
    8. November 2018
    Beiträge:
    4
    Zustimmungen:
    0
    Danke für die Infos.
    Ich habe meine DB nach <script durchsucht, wurde nichts gefunden.
    Der Rest sieht für mich soweit auch okay aus. Bin also wohl nochmal mit einem blauen Auge davongekommen.
    Danke für die Hilfe.
     
  13. denniswillkomm

    denniswillkomm New Member

    Registriert seit:
    10. November 2018
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo zusammen,
    mich hat's auch erwischt. Ich habe eine WP-Seite, die mit dem besagten Plugin versehen ist und wo sich ein Nutzer per Sicherheitslücke zum Admin machen konnte.
    Beim Aufruf der Seite bin ich bei einer Menge nackter Haut gelandet... :(
    Ich habe dann sofort eine index-Datei vorgeschaltet, so dass bei Abruf meiner Domain keine Weiterleitung mehr erfolgt, sondern nur ein langweiliges Logo erscheint.
    Die WordPress Verzeichnisse liegen dahinter, werden aber nicht mehr direkt erreicht.
    Ich bin leider kein Profi in Webdingen, daher habe ich mich jetzt mühsam einlesen müssen. Ich habe dummerweise kein Logfile, weil mein Hoster das standardmäßig (aus Datenschutzgründen) deaktiviert. In der SQL Datei habe ich auch schon mal nach den Script-Injections gesucht, aber zum Glück keine gefunden.
    Nun habe ich ein paar Fragen an die Profis unter euch:

    1. Wahrscheinlich war es nicht so clever, aber ich habe zwei WordPress Seiten in der gleichen SQL Datenbank. Die eine wurde gehackt, bei der anderen konnte ich nichts feststellen. Ich habe dort auch sofort das Plugin aktualisiert und Wordfence installiert (Tipp aus einem anderen Blog). Muss ich jetzt durch die Verwendung der gleichen Datenbank dort doch noch Bedenken haben?
    2. Die gehackte Seite ist ja erst mal nicht mehr direkt zu erreichen. Script injections habe ich nicht gefunden. Allerdings habe ich auch keine Ahnung, wo der Angreifer jetzt Schaden angerichtet haben könnte. Finde ich das irgendwie heraus? Wie gehe ich jetzt am Besten vor?

    Kann ich da noch was retten, oder muss ich die gehackte Seite komplett neu aufsetzen? Und noch schlimmer, muss ich mir bei der anderen Seite auch Gedanken machen und diese auch neu aufsetzen, da ja gleiche Datenbank?

    Vielen Dank schon mal für alle, die sich die Zeit nehmen, um mir hier zu helfen.

    Viele Grüße,
    Dennis
     
  14. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    90
    Zustimmungen:
    11
    Hi,

    hast du in der Datenbank (wp_options) mal die Seiten bzw Home Adresse gecheckt?
    Kommt da die nackte Haut her ?
    Sonst muss sich irgendwo ein Redirect Script eingeschlichen haben.

    Ob du die Seiten neu aufsetzen solltest, hängt davon ab, ob Schaddateien hochgeladen worden sind. Wenn Wordfence nichts findet, ist das schon mal kein schlechtes Zeichen.

    Gruß

    Pascal
     
    #14 pascal88, 10. November 2018
    Zuletzt bearbeitet: 10. November 2018
  15. denniswillkomm

    denniswillkomm New Member

    Registriert seit:
    10. November 2018
    Beiträge:
    2
    Zustimmungen:
    0
    Hi Pascal,

    danke für den Tipp. Und ja, tatsächlich, da stand gleich bei siteurl eine merkwürdige Adresse, mit der ich nichts anfangen konnte. Nachdem ich da wieder auf die Homepage zurückgesetzt habe und die Domäne wieder auf den WordPress Ordner umgeleitet habe, lande ich wieder auf meiner WordPress Seite. Jetzt werde ich mich mal daransetzen und die Seite abzusichern.

    Ich danke dir schon mal für deine wertvolle Hilfe...

    Gruß,
    Dennis
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden