1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

...auch gehackt worden :( wie vorgehen ?

Dieses Thema im Forum "Allgemeines" wurde erstellt von DDKEY, 28. November 2018.

  1. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    Hi

    ich wurde auch gehackt. Mir ist es Samstag aufgefallen als ich mich vom Handy ins Backend einloggen wollte.
    Ich wurde auf blueeye....com weitergeleitet. Die SITEURL habe ich bereits korrigiert und kann nun auch auf die Loginseite.

    Leider werde ich zum Frontend weitergeleitet, welches total zerschossen ist. Ich sehe keinen Theme, keine Buttons, nix. Somit auch nicht die Backend Leiste ganz oben wo ich zum Dashboard wechseln könnte.

    Ich habe das Problem dass das letzte Backup von der DB in wordpress zultzt ende Juli durchgeführt wurde. Eigentlich sollte es das wöchentlich tun, macht es aber leider nie. Wie kriege ich das nun ohne Datenverlust hin ? Ich bin bei Strato und habe schon gesehen dass ein Backup des FTP zum 18.11. vorliegt.
    Was würdet ihr mir raten ?

    Ich will lediglich Content Verluste vermeiden - alles andere kann man ja wieder reparieren mit dem drüber bügeln.

    btw:
    *siteurl in Myphp im strato Konto geändert !
    *Wordpress Login gelöscht und neuen angelegt mit neuem Passwort. Ich habe nur meinen eigenen Login gesehen
    *Der Hack muss nach dem 21.11. passiert sein, denn da hatte ich einen Text noch korrigiert.
     
  2. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    63
    Zustimmungen:
    6
  3. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    www.takeahike.de

    Habe versucht die Datenbank zu sichern. Leider, wenn ich die Abfrage zur Speicherung bestätige und das Passwort eingebe (das vor der Änderung heute), kommt nur eine Fehlermeldung.
    mysqldump: Got error: 1045: Access denied for user 'Uxxcvxcv'@'lilith' (using password: YES) when trying to connect

    Zeitpunkt ginge z.b. mit dem 18.11. ...wenn es denn ginge.
     
  4. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    63
    Zustimmungen:
    6
  5. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    Ah ok - das war schonmal Teil 1. Nun seh ich das Theme wieder.

    Login geht aber kein Dashboard .... wenn ich über /wp-admin gehe kommt sogar Du bist leider nicht berechtigt, auf diese Seite zuzugreifen.

    Hab so das gefühl dass ich nun nicht mehr Admin bin seit dem Löschen meines Users in der wp_user
     
  6. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    63
    Zustimmungen:
    6
  7. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    das hat leider nichts gebracht, das stand zudem bereits drin, jedoch mit einer anderen ID. Nun gleiche ID -> kein Admin ...ich sehe kein Dashboard oder keinen Links dahin in der Header Leiste
     
  8. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    Normalerweise logged es sich ja direkt auf das backend ein.
     
  9. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    63
    Zustimmungen:
    6
    Wie hast du dir den neuen User denn überhaupt erstellt? Wahrscheinlich unvollständig.

    Lad mal angehängte php Datei ins Hauptverzeichnis hoch, rufe Sie im Browser auf, anschließend kannst du dich mit dem neuen adminuser einloggen.

    Ggf. vorher das Passwort ändern - schau dir die Datei an entspr. Stelle an (Zeile 11-12).

    https://website-bereinigung.de/downloads/wp-createuser.zip
     
    #9 pascal88, 29. November 2018
    Zuletzt bearbeitet: 29. November 2018
  10. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    Muss Zeile 16 auch angepasst werden ?

    Den neuen User habe ich über die mySQL DB im Strato in der WP_users angelegt...
     
  11. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    63
    Zustimmungen:
    6
  12. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    Hm... ich hab die Datei anepasst, hochgeladen, im browser aufgerufen.
    Mit dem Namen und dem PAsswort komme ich jedoch nicht rein ....


    Edit: ok - ging nun. Der wollte ne andre Mailaddresse haben...
     
    pascal88 gefällt das.
  13. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    Sodele

    ok - ich bin nun drin.

    WAS würdest du mir nun empfehlen ? Säubern ? wenn ja wie aufwändig ist das ?
    Oder doch lieber einmal komplett runter und das Backup vom 18.11. drauf ? Ich vermute ja mal dass es auch bei mir das WP GDPR Compliance war ...
     
  14. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    63
    Zustimmungen:
    6
    Schau dir die Log Dateien an wie hier beschrieben. Im Strato Kundenpanel kannst du dir die Access Logs der letzten 6 Wochen herunterladen.
    Wenn da nichts auffälliges drin steht/kein Schadcode hochgeladen wurde, kannst du alles so lassen wie es jetzt ist.

    In den meisten Fällen passiert über die Admin Erstellung hinaus (+ #_options Änderung und Degradierung anderer User) vorerst nichts.
     
  15. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    Folgendes wurde rot angezeigt. Ausschnitt vom 18.11. bis heute.


    Frontend
    Statuscode 2xx - Erfolgreiche Operation
    19x /wp-login.php 200
    14x /wp-comments-post.php 200
    5x / 200
    1x /wp-login.php?action=resetpass 200
    Statuscode 3xx - Umleitung
    15x /wp-login.php 302
    5x / 301
    1x /phpunit/src/Util/PHP/eval-stdin.php 301
    1x /wp-content/plugins/cloudflare/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 301
    1x /wp-content/plugins/jekyll-exporter/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 301
    1x /wp-content/plugins/dzs-videogallery/class_parts/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 301
    1x /lib/phpunit/Util/PHP/eval-stdin.php 301
    1x /lib/phpunit/src/Util/PHP/eval-stdin.php 301
    1x /lib/phpunit/phpunit/Util/PHP/eval-stdin.php 301
    1x /lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php 301
    1x /vendor/phpunit/Util/PHP/eval-stdin.php 301
    1x /vendor/phpunit/src/Util/PHP/eval-stdin.php 301
    1x /vendor/phpunit/phpunit/Util/PHP/eval-stdin.php 301
    1x /phpunit/Util/PHP/eval-stdin.php 301
    1x /phpunit/phpunit/Util/PHP/eval-stdin.php 301
    1x /wp-content/plugins/Login-wall-etgFB/login_wall.php?login=cmd&z3=c2ZuLnBocA%3D%3D&z4=L3dwLWNvbnRlbnQvcGx1Z2lucy8%3d 301
    1x /phpunit/phpunit/src/Util/PHP/eval-stdin.php 301
    1x /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 301
    1x /wp-content/index.php 301
    1x /wp-login.php 301
    1x /modules/mod_simplefileuploadv1.3/elements/udd.php 301
    1x /wp-content/plugins/woocommerce-product-options/includes/image-upload.php 301
    1x /wp-content/plugins/jquery-html5-file-upload/jquery-html5-file-upload.php 301
    1x /sites/all/libraries/elfinder/php/connector.minimal.php 301
    1x /tiny_mce/plugins/tinybrowser/upload_file.php?folder=/&type=file&feid=&obfuscate=&sessidpass= 301
    1x /uploadify/uploadify.php?folder=/ 301
    1x /license.php 301
    1x /wp-login.php?action=lostpassword 302
    Statuscode 4xx - Client-Fehler
    2x /login/wp-login.php 404
    Statuscode 5xx - Server-Fehler
    14x /wp-comments-post.php 503



    Backend
    Statuscode 2xx - Erfolgreiche Operation
    2407x /wp-admin/admin-ajax.php 200
    9x /wp-admin/post.php 200
    4x /wp-admin/admin-ajax.php?_fs_blog_admin=true 200
    2x /wp-admin/async-upload.php 200
    Statuscode 3xx - Umleitung
    26x /wp-admin/admin-ajax.php 301
    24x /wp-admin/post.php 302
    Statuscode 4xx - Client-Fehler
    32x /wp-admin/admin-ajax.php 400
    Statuscode 5xx - Server-Fehler
    1x /wp-admin/admin-ajax.php 503
     
  16. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    63
    Zustimmungen:
    6
    Da sind keine beunruhigenden Einträge (hochgeladene Schaddateien) erkennbar.
     
  17. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1
    Hi pascal

    OK.. Gut. Sonst irgendwas was ich nun noch tun sollte?

    Danke jedenfalls für die Hilfe spät gestern Abend!!!!!! !
     
  18. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    4.146
    Zustimmungen:
    274
    Da der Hack zu einer sehr hohen Wahrscheinlichkeit über das auf dem Website genutzte Plugin "WP GDPR Compliance" erfolgt sein dürfte, ist es ebenso sehr wahrscheinlich, dass auch weitere Änderungen vorgenommen wurden, wie auf allen Websites, die wir hier mit diesem Hack gesehen und bereinigt haben, mehr dazu z.B. hier im Forum oder z.B. bei heise.de

    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben.
     
  19. DDKEY

    DDKEY Member

    Registriert seit:
    14. Februar 2018
    Beiträge:
    16
    Zustimmungen:
    1

    OK. Die Bereinigung der Ordner kann ich mal angehen und die cleanen neu hochladen. Die olugins habe ich gestern alle updaten lassen, ebenso das theme.

    Ein weiterer Nutzer oder admin war nicht angelegt. Es gab nur meinen bisherigen Account. Ich weiß jedoch nicht ob ich das mit meiner Tollpatschigkeit gestern war und mir selbst die adminrechte entzogen habe und mich nicht ins dashboard einloggen konnte oder ob es ER war...

    Wenn ich die Bereinigung mache geht vom.
    Content ja nix verloren oder??
     
  20. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    4.146
    Zustimmungen:
    274
    Wenn der Hack über "WP GDPR Compliance" erfolgt ist, gab es einen anderen Admin. Da im Rahmen dieses Hacks aber auch zig Varianten von weiteren Hacks bzw. Backdoors und Trojaner installiert wurden, kann es natürlich sein, dass da schon jemand "aufgeräumt" hatte. Es gibt auch keinen "ER" als Angreifer, sondern bei sowas immer eine Masse von durchaus auch unterschiedlichen automatischen Scripts, die alles mögliche hinterlassen und sich auch schon mal in die Quere kommen.

    Eine Bereinigung sollte man komplett in einem Stück sauber durchziehen, halbe Sachen reichen nicht, es wäre nicht das erste Mal, dass am Ende dann doch noch eine Datei wp-content/themes/index.php o.ä. mit einem ganz anderen Inhalt als "Silence is golden." vorhanden ist, und das Spielchen von vorne beginnt.

    Sowas "mal anzugehen" ist der falsche Ansatz.
     
    SEpp55 gefällt das.
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden