Internetseite gehackt. Fremder User in Wordpress angelegt und eine Weiterleitung hinterlegt

Fedaykin · 4. Juli 2018

Hallo Ihr Lieben,

meine iNternetseite wurde gehackt. Zum zweiten Mal. Es befindet sich ein fremder User, den ich nicht angelegt habe als Nutzer in meinen Usern. Den habe ich selbstverständlich bereits gelöscht.

Jetzt ist es aber so: Wenn man auf meine Internetseite http:///aizpun.de geht und dort zum ersten Mal auf die Seite geht wird man auf eine komische Seite weitergeleitet, die hoch unseriös anmutet.

Wenn man das zweite Mal auf die Seite geht, kommt man wieder ganz normal auf meine Internetseite. Ich habe die SQL-Datenbank bereits eine Woche zurückgesetzt, kann aber nicht mit Sicherheit sagen das sie da noch funktionierte. Der Fehler besteht jedenfalls auch nach Widerherstellung immernoch.

Wo finde ich jetzt diese ominöse Weiterleitung, da ich keine Ahnung habe wo ich suchen soll.

Könnt Ihr mir bitte weiterhelfen?

Gruß Volker

Edit maxe: Link entschärft

r23 · 4. Juli 2018

Zitat von Fedaykin: ↑

Jetzt ist es aber so: Wenn man auf meine Internetseite [böse-seite] geht und dort zum ersten Mal auf die Seite geht wird man auf eine komische Seite weitergeleitet, die hoch unseriös anmutet.

Wenn man das zweite Mal auf die Seite geht, kommt man wieder ganz normal auf meine Internetseite.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

wenn auf dem besuchenden Rechner bereits Schadecode installiert wurde - muss man den Anwender nicht mehr weiterleiten.

D.h. deine Seite leitet vermutlich auf eine Seite mit Schadecode weiter. Diese Installiert dann Trojana und Viren auf den Rechner der Besucher und du bist schadenersatzpflichtig.

Zitat von Fedaykin: ↑

Könnt Ihr mir bitte weiterhelfen?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

wende dich an deine Webagentur oder an deinen Provider. Diese müssen den Stand vor dem Angriff wiederherstellen und die Sicherheitslücke eben schließen.

Viel Glück

Ralf

Fedaykin · 4. Juli 2018

Ich habe diese Seite selbst mit einem Theme aufgesetzt. Der Provider ist der Meinung, dass er mir nur den Webspace zur Verfügung stellt. Ich finde aber nirgends so eine Art log wann was geändert wurde, also kann ich auch nicht sagen wann der Zeitpunkt vorher war.

Ich habe immer die neueste WP-Installation drauf und trotzdem passiert das schon zum zweiten Mal.

b3317133 · 4. Juli 2018

Komplettbackup im gehackten Zustand erstellen, damit man später nachvollziehen kann, wo die Lücke war. Das weitere Vorgehen ist z.B. hier beschrieben.

Kurzanalyse: Viele WordPress Core Dateien sind derzeit verseucht, der Trojaner steckt in .js und wohl auch in .php Dateien. Evtl. wird bei der Neuinstallation immer wieder ein Theme oder Plugin aus obskuren Quellen verwendet, oder es bleiben Dateien von alten und/oder anderen PHP-Installationen bestehen, über die der Angreifer wieder und wieder reinkommt. Of sind es einfach nur wie so oft schwache Passwörter bei Hosting, FTP oder WP Admin.

Fedaykin · 8. Juli 2018

Problem gelöst. Danke b3317133

WPDE.org

Internetseite gehackt. Fremder User in Wordpress angelegt und eine Weiterleitung hinterlegt

Fedaykin New Member

r23 Well-Known Member

Fedaykin New Member

b3317133 Well-Known Member

Fedaykin New Member

Nützliche Suchen

Internetseite gehackt. Fremder User in Wordpress angelegt und eine Weiterleitung hinterlegt

Fedaykin New Member

r23 Well-Known Member

Fedaykin New Member

b3317133 Well-Known Member

Fedaykin New Member