1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

index.php gehackt

Dieses Thema im Forum "Allgemeines" wurde erstellt von Silvernerd1, 30. Januar 2020.

  1. Silvernerd1

    Silvernerd1 Member

    Registriert seit:
    13. Mai 2013
    Beiträge:
    21
    Zustimmungen:
    0
    Hallo Forum,

    durch Google Ads wurde ich darauf hingewiesen, dass auf meiner Seite Links zu illegalen Seiten existieren. Durch das Plugin "Sucuri Security" wurde ich darauf hingewiesen, dass meine index.php nicht im Originalzustand ist. Und in der Tat war dort Code enthalten, der auf eine Seite weiterleitete, deren Adresse zur Laufzeit von einem remoten Server geholt wurde. Und damit es nicht so schnell auffällt, macht er es auch nur dann, wenn die Seite über eine Suchmaschine aufgerufen wird und auch nur einmal am Tag (gesteuert über Cookie). Falls der Code jemanden interessiert: Ich habe ihn als Anhang hochgeladen.

    Nachdem ich index.php durch eine Original-Datei ersetzt habe, war der Spuk auch erst einmal vorbei. Als nächstes habe ich das komplette WP neu installiert, alle FTP- und Backend-Passwörter neu vergeben und die Datenbank ausgetauscht.

    Nur: Leider findet Google immer noch illegale Weiterleitungen.

    Langer Rede kurzer Sinn: Welche Erfahrungen habt Ihr mit Tools gemacht, die serverseitig alles durchsuchen und Malware aufspüren, also so ähnlich wie ein AV-Programm auf dem Rechner? Ich habe da z.B. Sucuri und OneOurSiteFix gefunden. Taugen die was? Oder habt Ihr mit anderen Tools gute Erfahrungen gemacht?

    Frage am Rande: Wie kommt so ein Sch* eigentlich auf den Server? Kannte da jemand meine Backend-/FTP-Zugänge oder gibt es da noch andere Einfallstore?

    Danke im Voraus für Eure Unterstützung.

    Bfn
    Michael
     

    Anhänge:

  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    wenn ein Angreifer eine PHP Datei ändern kann - legt dieser sich in der Regel in ein verstecktes Unterverzeichnis eigenen Skripte.

    Backend-/FTP-Zugänge verwenden Angreifer in der Regel nicht sondern nutzen Sicherhesitlücken und Fehler in der Anwendung (WordPress Plugin, Theme ... usw) aus.

    Datenbank mit Sicherheitslücken (einfach mal nach wordpress dort suchen)
    https://www.exploit-db.com/

    puh... nein eigentlich taugen Plugins nicht viel. aber... du möchtest ja keinen deinstleister mit der bereinung deiner seite beauftragen ... ergo... so ein plugin kann dir wenigestens sgaen, ob deine seite bereinigt ist oder nicht. eine bereinigung können diese plugins *nicht* durchführen - weil sie die sicherheitslücke nicht suchen und nicht beseitigen können.
     
    Silvernerd1 gefällt das.
  3. Silvernerd1

    Silvernerd1 Member

    Registriert seit:
    13. Mai 2013
    Beiträge:
    21
    Zustimmungen:
    0
    Danke für Deine schnelle Antwort und Deine Tipps. Kannst Du Dienstleister empfehlen? Unabhängig davon werde mich mal auf die Suche machen, ob ich auf exploit-db fündig werde.
     
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben.

    Alternativ wende Dich an die Person, die den Website eingerichtet hat oder suche jemanden für eine Ursachensuche und Bereinigung in Deinem lokalen Umfeld oder z.B. über die Jobbörse hier im Forum.
     
    Silvernerd1 gefällt das.
  5. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    90
    Zustimmungen:
    11
    Beim Google Ads Support muss man etwas hartnäckiger sein.

    Die finden regelmäßig nach den Bereinigungen angeblich noch schädliche Links - kA ob dabei (erst mal) nur auf den Google Cache zurückgegriffen wird o.ä..
    Wenn man versichert, dass alles clean ist und um eine Prüfung des Ist-Zustands bittet, ohne dabei auf irgendeinen Zwischenspeicher zurückzugreifen, war dann plötzlich doch immer alles OK und die Anzeigen wurden wieder freigegeben.

    Halt uns auf dem Laufenden, was daraus geworden ist.
     
    Silvernerd1 gefällt das.
  6. Silvernerd1

    Silvernerd1 Member

    Registriert seit:
    13. Mai 2013
    Beiträge:
    21
    Zustimmungen:
    0
    Danke für Eure Antworten. Haben mir sehr weitergeholfen.

    Wende mich jetzt an website-bereinigung

    Bfn
    Michael
     
    #6 Silvernerd1, 31. Januar 2020
    Zuletzt von einem Moderator bearbeitet: 31. Januar 2020
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden