1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Account gehackt?

Dieses Thema im Forum "Allgemeines" wurde erstellt von wppraesenz, 19. April 2018.

  1. wppraesenz

    wppraesenz Member

    Registriert seit:
    10. März 2015
    Beiträge:
    19
    Zustimmungen:
    0
    Hallo Ihr Anderen!
    Ich habe vor zwei Tagen Ninja Firewall installiert und seitdem das erste Mal, dass vorgestern und heute sich ein Hacker/Bot als User in meinem WP-Admin eingetragen hat!!? Jeweils mit einer anderen Emailadresse als Benutzername, keine Rolle angegegeben und nichts sichtbar auf den ersten Blick sonst verändert.
    Ich habe fast zeitgleich mit der Firewall auch von Loginpress den Custom Login Page Customizer installiert. Letzteres verändert m.E. aber nur die Oberfläche!?
    Kann jetzt einer der beiden ein böser Bube sein, der Einlass gewährt? Ich hatte vorher noch nie Angriffe, zumindest keine, voin denen ich wüßte.
    Übrigens habe ich "sichere Passwörter" (wenn es sowas gibt) und WP, die Plugins und das Theme sind immer upgedatet - das sind ja die typischen Empfehlungen. War aber vorher schon so. Nach dem ersten "Angriff" habe ich das Passwort sogar noch länger gemacht - mit dem berichteten Erfolg... :(

    Vom Hoster keine Info über Hackerangriffe etc. In der Logliste hatte ich genau um die Uhrzeit des zweiten fremden Angriffs/Logins heute ein "POST" auf der admin/admin-ajax.php - was das heißt, ob das normal ist da bin ich als Laie leider überfragt.
    Ist Euch sowas bekannt, auch in Zusammenhang mit diesen Plugins? Kein super Gefühl, dass da einer rein- und rausspaziert, hoffentlich "nur" ein Troll und keiner, der was auf der Seite anrichten will.
    Wäre klasse, wenn mir dazu jemand was sagen könnte...
    Danke schon mal.
    UP
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.123
    Zustimmungen:
    538
    Sieht nach klassischem Hack aus. Ob das durch die neuen Plugins kam, kann man "von aussen" kaum sagen. Wurden die Plugins aus dem offiziellen Repository installiert oder aus irgendeiner anderen Quelle?

    Als erstes mal ein Komplettbackup erstellen, alle Dateien im Webspace und die Datenbanken, für spätere Analysezwecke.

    Hier eine Kurzbeschreibung wie es dann weitergeht.

    Zum Thema "hoffentlich 'nur' ein Troll", sobald Dritte solche Accounts anlegen können, ist praktisch die komplette Installation als kompromitiert zu betrachten.
     
    #2 b3317133, 19. April 2018
    Zuletzt bearbeitet: 19. April 2018
    wppraesenz gefällt das.
  3. SirEctor

    SirEctor WPDE-Team
    Mitarbeiter

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    11.726
    Zustimmungen:
    314
    Es wurde wirklich ein neuer User in WordPress eingetragen? Kann es nur ein Abonnent sein? Sonst gilt das von @b3317133
     
    wppraesenz gefällt das.
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.123
    Zustimmungen:
    538
    @SirEctor: Wenn keine Rolle angegeben ist, deutet es darauf hin, dass entweder ein Account mit wp_create_user(..) angelegt wurde, aber noch ..->set_role() fehlt, oder dass jemand den Account z.B. über eine SQL-Injection unvollständig direkt in die Datenbank geschrieben hat.
     
    wppraesenz gefällt das.
  5. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.123
    Zustimmungen:
    538
    @wppraesenz: Habe Deine Postings in den wordpress.org Foren gesehen und den dort verlinkten Website angeschaut, könnten die Accounts auch aus einem Newsletter- bzw. diesem ConvertPlug Plugin o.ä. stammen?

    Du setzt offenbar aktuell die Version 3.2.2 davon ein, und der neuste Eintrag im Changelog des Plugins behandelt genau so einen Fix für einen "Benutzer ohne Rolle".

     
    wppraesenz gefällt das.
  6. wppraesenz

    wppraesenz Member

    Registriert seit:
    10. März 2015
    Beiträge:
    19
    Zustimmungen:
    0
    Mensch, danke für die schnellen Antworten... ich muss erst mal Eure Antworten richtig checken und dann wohl Hilfe holen, ich bin echter Laie... danke, Thomas, für das Angebot, melde mich, wenn ich nicht mehr weiterkomme.
    @b3317133 ich weiß es nicht... wie bekomme ich das raus?
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.123
    Zustimmungen:
    538
    Benutze mal das Formular dieses "ConvertPlug" Plugins, wo immer Du es auch einsetzt, einfach so wie ein normaler externer Benutzer. Wird dann auch ein Account erstellt?
     
    wppraesenz gefällt das.
  8. wppraesenz

    wppraesenz Member

    Registriert seit:
    10. März 2015
    Beiträge:
    19
    Zustimmungen:
    0
    Leck mich am Ärmel, ja!!!!!!!! Das gibts doch nicht!!!! Was ist denn das???
     
  9. wppraesenz

    wppraesenz Member

    Registriert seit:
    10. März 2015
    Beiträge:
    19
    Zustimmungen:
    0
    Ich könnt Dich knutschen, b331733! Kein Hack, ein Self-Hack!?
     
  10. wppraesenz

    wppraesenz Member

    Registriert seit:
    10. März 2015
    Beiträge:
    19
    Zustimmungen:
    0
    Wie geht das denn? Und wie stell ich das ab!?
     
  11. wppraesenz

    wppraesenz Member

    Registriert seit:
    10. März 2015
    Beiträge:
    19
    Zustimmungen:
    0
    ....Ihr habt genug gemacht, vor allem nochmal Dank an Deine Zeit und Forschermühe, b3317133. Werde jetzt den Support von ConvertPlus bemühen... mal sehen, was die sagen....
    Schönen Abend Euch allen noch!
     
    #11 wppraesenz, 19. April 2018
    Zuletzt bearbeitet: 19. April 2018
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden