1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Mehrere Sites gehackt, was tun?

Dieses Thema im Forum "Jobbörse" wurde erstellt von Autor33, 14. Juni 2020.

  1. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Hallo,

    meine vier WP-Sites (4.9.15) und zwei alte statische Sites wurden gehackt, drei Sites sind bei einem Hoster, drei bei einem anderen. Die veränderten und eingefügten Dateien haben laut FTP-Ansicht Ende Mai bis 12.6. stattgefunden.

    Am Frontend hat sich gar nicht so viel getan, bei einigen Seiten der statischen Sites wurden Viagralinks eingefügt und bei einigen Websites zusätzliche URLs erzeugt (mit Zahlen als Dateiname), die aber bei Aufruf im Grunde leere Seiten zeigen. Also man sieht den Rahmen (Header, Navis, Sidebar, Footer), aber ohne Seiteninhalt (Whoops, page not found).

    Ich komme nicht mehr ins Backend.

    Konkret wurde offenbar neben der erwähnten URL-Erstellung ohne echten Seiteninhalt vor allem Folgendes gemacht:
    - htaccess hat jetzt nur noch den WP-Standardcode
    - robots.txt völlig verschwunden oder fast leer
    - index.php verändert und zusätzliche index2.php ect. erstellt
    - htaccess und index.php befinden sich jetzt zusätzlich zum Hauptverzeichnis in mehreren anderen Unterordnern
    - im Hauptverzeichnis der Sites sind jeweils einige kryptische php-Dateien dazu gekommen, von denen einige mein Virenscanner beim Versuch des Anschauens als Virus erkannt hat (Backdoor...), andere lassen sich anschauen (ich kann screenshots posten).
    - mind. bei einer der WP-Sites ist im Themeordner ein mir unbekanntes Theme "danfe".
    - readme hat ebenfalls ein neueres Änderungsdatum

    So in etwa sieht der Salat aus.

    Um eine Updraftsicherung einzuspielen, muss ich ins Backend, kann mich aber vage erinnern, dass das evtl. auch anders geht? Selbst wenn, sollte ich eine alte Sicherung einspielen, solange ich nicht weiß,
    - bis zu welchen Datum noch alles in Ordnung war
    - was die Ursache bzw. das Einfallstor war?

    Einige Dateien im Hauptverzeichnis (robots, htaccess ect.) sichert Updraft meines Wissens nicht, hilft mir da also gar nicht?

    Wie gehe ich jetzt am klügsten vor? Bei einem der beiden Hoster ist ein Supportticket erstellt.

    Wenn die Veränderungen bis 31.5. zurückgehen, sind Hostersicherungen wahrscheinlich kein Thema, beim einen Hoster sowieso nicht, weil der nur DB-Sicherungen macht und beim anderen wegen des Zeitraumes wohl nicht (2 Wochen zurück...).

    Kennt jemand jemanden, der in solchen Fällen fit ist, ggf. gegen Bezahlung hilft?

    "Seufz..."

    Grüße,

    Autor33
     
  2. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    90
    Zustimmungen:
    11
    Moin,

    kann mich gern direkt darum kümmern - ich betreibe website-bereinigung .de

    Gruß

    Pascal
     
  3. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Interessenten können sich gerne per Mail (freieseelen@gmx.de) oder im Wege einer "conversation" hier melden.
     
  4. Raphael

    Raphael Well-Known Member

    Registriert seit:
    8. September 2005
    Beiträge:
    920
    Zustimmungen:
    20
    Na ja, wenn du backups hast, kanns ja mal versuchen für jedes Projekt eine neue, leere Datenbank anzulegen, ein neues, leeres, aktuelles Wordpress aufzuspielen und dann das Backup einspielen. Natürlich müssen alle Zugangsdaten (Datenbank, FTP, Wordpress, was auch immer) geändert werden. Vielleicht hilft das auf die Schnelle.
     
  5. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Hallo Raphael,
    Ja, ich habe UpdraftPlus-Sicherungen, die keine Viren enthalten und laut Logdatei in Ordnung sind.

    Du meinst das eigentliche WP, das, was offenbar "Core" genannt wird? Das ist in den UpdraftPlus-Sicherungen tatsächlich gar nicht dabei, wie ich jetzt erst überrascht gemerkt habe. Und das brauche ich sicher, denn vor allem "index.php" und "htaccess" sind munter verstreut in allen möglichen Unterordnern von wp-content, wp-admin und wp-includes plus einige andere php-dateien, sogar vereinzelt neue Ordner.

    Allerdings sind die Sites bzw. Sicherungen von WP 4.9.15 bzw. 14 und dementsprechend passt das nicht mit einem aktuellen WP zusammen. Ich müsste also ein WP 4.9.14 neu installieren, geht das?

    Warum ist eine neue leere DB erforderlich? Die wird doch mit den Sicherungen mit "guten", nicht betroffenen Daten befüllt?
     
  6. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Setze ein frisches WordPress 4.9.15 in einem neuen ansonsten völlig leeren Ordner mit neuer Datenbank auf und folge der Anleitung How do I restore my site with UpdraftPlus?

    Die Lücken, über die Deine Hacks kamen, solltest Du natürlich vorher alle identifiziert haben und so kurz wie möglich direkt nach Einspielen der alten Backups beheben sonst wird alles wieder gehackt werden.

    Ergänzung: WordPress 4.9.15 vom 11.06.2020 ist übrigens ein durchaus aktuelles WP - im 4.9 Zweig. Sicherheitsrelevante Updates gibt es für alle älteren Zweige bis zurück zum uralten WordPress 3.7. Es ist ein weit verbreiteter Irrglaube, dass man immer im neusten Zweig sein müsste...

    In Deinem Fall ist es egal ob Du 4.9.14 oder gleich 4.9.15 nimmst, das macht in Bezug auf die Kompatibilität mit der gesicherten Datenbank keinen Unterschied.
     
    #6 b3317133, 16. Juni 2020
    Zuletzt bearbeitet: 16. Juni 2020
    Autor33 gefällt das.
  7. Raphael

    Raphael Well-Known Member

    Registriert seit:
    8. September 2005
    Beiträge:
    920
    Zustimmungen:
    20
    Hi, wie ich sehe, ist bereits aller erklärt. ;)
    @ Lücken: bin kein spezialist auf dem Gebiet, aber potentiell alles was mit Passwörtern betrieben wird, kann ein Einfallstor sein. Daher Alle Passwörter neu vergeben, leere Datenbank nutzen, FTP mit neuem Passwort, Wordpress mit neuem PW...

    Nachdem das Backup aufgespielt ist: sofort alle Plugins uodaten, falls sie nicht aktuell sind.

    Falls es klappt, ist es ja OK. Falls nicht, muss sich das ein Spezialist ansehen. ;)
    lG
    Raphael
     
  8. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Danke für eure Hinweise.

    @b3317133
    Wenn ich dich richtig verstehe, blieben die korrumpierten Installionen bestehen und ich baue parallel in je einem neuen Ordner alle Sites neu auf?
    Muss ich auf diesem Weg nicht sämtliche WP-Einstellungen sowie die eigentlichen Seiteninhalte (pages mit HTML-Code, Editor), alle URLs, functions.php, Navigationen, Bilder ect. wieder ganz von vorne neu machen? In den Updraft-Sicherungen sind ja nur die themes, plugins ect.

    Das frische 4.9.15 aufsetzen...kannst du das noch etwas genauer erklären, WIE ich das mache? Ich sehe da auf der verlinkten Seite sechs Downloadlinks zu 4.9.15, wird wohl "zip" das richtige sein. Lade das runter auf meinen PC und dann? Neue Datenbank muss vorher schon eingerichtet sein, denke ich. Was mich dann bei meinem Hoster drei neue Datenbanken kostet, aber das ist ja dann nur kurzfristig, egal.

    Sorry für die vielen Fragen, aber das letze Mal habe ich ein WP vor 6 oder 7 Jahren installiert und in meinem Leben nur insgesamt vier mal... ich bin eher der Typ, der Bedienungsanleitungen genau liest :)

    Was das vorherige Identifizieren der Lücken angeht... die häufig genannten Plugins sind es bei mir wohl eher nicht, ich habe nur UpdraftPlus, "Disable Embeds" und bei einer Seite Duplicator.
    Kann man das identifizieren bzw. braucht es dazu nicht doch gleich einen Experten? Einerseits haben sich ein paar gemeldet, die es auch zu fairen Preisen machen würden und es wäre natürlich einfach zu sagen "mach es", andererseits wäre ich gerne beteiligt und wüsste ganz gerne, was gemacht wird...

    Eine heiße Spur habe ich vielleicht durch Zufall entdeckt: Bei drei von den vier WP-Sites komme ich wieder rein (htaccess und htpasswd selbst neu hochgeladen) und bei einer Site habe ich einen noch unbearbeiteten "Viagra"-Trackback gesehen, obwohl ich keinen Blog habe, sondern "statische", kleine Info/Firmensites. Bei den beiden alten HTML-Sites im gleichen Webspace sind teilweise Vigra-Links eingefügt worden in den Text. Das hängt also bestimmt zusammen.

    @Raphael:
    PW ändern ist klar. Macht man das gleich als Allererstes oder nachdem alles erledigt ist? Wenn gleich zu Anfang, dann kann das jetzt, wo die Malware noch drauf ist, ja wieder ausgespäht oder verändert werden.
     
  9. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Die korrumpierten Installionen und alle sonstigen ggf. befallenen Dateien des Webspace verschiebt man üblicherweise ohne weitere Änderungen irgendwohin wo sie von aussen über eine Domain o.ä. in keiner Weise mehr erreichbar sind. Man kann auch alles löschen, aber für die Ermittlung der genutzen Lücken und "Infektionsketten" usw. ist eine Aufbewahrung (ggf. auch gesamt als .zip offline inkl. Inhalte der Datenbank) oft sehr hilfreich.

    Normale Updraft Sicherungen enthalten üblicherweise alles was nötig ist inkl. der Datenbank mit Seiteninhalten usw., wende Dich am besten an die Person, die das Backup Plugin installiert und eingerichtet hat, die wird Dir das erklären können.

    Wie man WordPress neu installliert erkläre ich hier nicht, dazu gibt es zig. Tutorials in Suchmaschinen oder YouTube usw.

    Neue Datenbanken sind bei jedem Hoster heutzutage normalerweise in ausreichender Anzahl inklusive.

    Viel Erfolg bei der Bereinigung.
     
  10. Raphael

    Raphael Well-Known Member

    Registriert seit:
    8. September 2005
    Beiträge:
    920
    Zustimmungen:
    20
    Also ein ZIP, klingt schon mal gut. ;) Wie bb3317133 schon geschrieben hat: Klar kannste dir die Datenbanken aufheben um die Infektion genauer zu erforschen. Aber wenn du es im ersten Durchlauf einfach halten möchtest, kannste auch alles löschen, WP (4.9.15) aufsetzten, alles Passwörter ändern (SICHERE Passwörter nutzen!!!) . und dann die Updates aufspielen. Falls das nicht klappt und du wieder gehackt wirst, musst du ohnehin einen Profi aufsuchen. Ich kann dir dann nicht helfen, ich bin Designer und könnte höchstens die Seiten neu coden... ;))

    Du schreibst, dass du "nur" Duplicator hast: Das ist aber ein Plugin, das vor einiger Zeit eine Sicherheitswarnung veröffentlicht hat. Wenn Du beim Duplicator nicht am aktuellen Stand bist, ist das ev. dein Einfallstor. Lies mal: https://securityaffairs.co/wordpress/98412/hacking/duplicator-wordpress-plugin-attacks.html

    Viele Grüße
    Raphael
     
  11. Autor33

    Autor33 Well-Known Member

    Registriert seit:
    29. Mai 2010
    Beiträge:
    273
    Zustimmungen:
    0
    Also ganz natürlich beim neuen Erstellen neue Passwörter. Ich kenne noch zwei weitere Varianten, nämlich jetzt sofort, obwohl noch infiziert und erst ganz am Schluss, wenn alles vorbei ist.

    Bin Profi, deshalb :) Ich habe eine alte Anleitung, die ich wie gesagt vor Jahren zuletzt gebraucht habe und da steht Schritt für Schritt, was zu tun ist und so mache ich es dann. Wie gesagt, bin "Bedienungsanleitungsleser" und studiere das dann. Wenn da nicht steht, "nimm das .zip", könnte ich ja vielleicht auch das andere Dingens nehmen.
    Ich mach Spaß, aber mir ist gar nicht wirklich danach...


    Meiner Erinnerung nach habe ich das nur in einer Site und dort immer deaktiviert, weil ich es seit sehr langer Zeit nie gebraucht habe. Lediglich ab und zu aktualisiert. Obs trotzdem mögliches Einfallstor sein kann (ohne Benutzung und deaktiviert), keine Ahnung.
     
  12. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    eine infizierte version hat rein gar nichts im web verloren - weder als kopie oder als basis einer neuen version von irgendetwas.

    von einer infizierten seite geht eine gefahr aus. besucher könnten sich zum beispiel schadecode installieren.

    man verschiebt es auf einen nicht erreichbaren ort - und löscht es für die besucher.

    schon einmal daran gedacht, dass man dich schadenerstzpflichtig machen könnte?

    Vor lauter Begeisterung über gehackte WebSeiten hat der damalige Innenminister de Maizière
    eine Gesetzänderung eingeführt.
    einfach mal lesen
    https://www.golem.de/news/innenminister-de-maiziere-jeder-kleine-webshop-muss-sicher-sein-1412-111244.html
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden