1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Probleme mit Provider und dementsprechend mit Wordpress

Dieses Thema im Forum "Allgemeines" wurde erstellt von Holger F, 30. Juli 2019.

  1. Holger F

    Holger F Member

    Registriert seit:
    30. Juli 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo zusammen

    Ich weiss, dass Probleme mit Providern hier nicht hingehören, möchte aber dennoch ein Meinungsbild einholen.

    Mein Providor hat meine WP-Homepage vom Netz genommen, weil es angeblich Schadsoftware enthält und sie nicht auf dem neuesten Stand wäre.
    a) hatte ich WP kurz zuvor noch auf die neueste Version abgedatet und
    b) ebenfalls PHP auf die neueste Version umgestellt.

    Angegeben wurden folgende (angeblich) betroffene Dateien
    wp-clocks.php, wp-count.php und wp_count.php

    Ich hatte diese gelöscht und mich an den Provider gewandt und ihm das mitgeteilt.

    Leider ist die Abuse-Abteilung nur per Email erreichbar und die Reaktionszeit beträgt 72 Stunden+

    Nach 120 Stunden habe ich eine erneute Email bekommen, dass nun folgende Dateien betroffen sind:
    wieder wp-clocks.php obwohl diese ja gelöscht war. Zusätzlich nun index.php, wp-cron.php, wp-settings.php und admin-bar.php

    Habe auch diese gelöscht und warte nun schon wieder seit knapp 100 Stunden auf eine Antwort.

    Ich würde gerne zu einem anderen Provider wechseln, wenn meine Vertragslaufzeit ausgelaufen ist. Habe aber keinerlei guten Provider gefunden.

    Des Weiteren: Was kann ich noch tun, damit diese angebliche Schadsoftware weg ist. Hatte auch schon ein Backup (extra das älteste genommen) wieder eingespielt. Scheint aber nix gebracht zu haben.

    Hat jemand Tipps für mich ?

    Danke

    Gruß Holgeer
     
  2. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.401
    Zustimmungen:
    87
    Am Besten machst du ein Update von Hand auf die neuste Version.

    Aber wenn die Seite gesperrt ist, wird es schwierig was zu machen.

    Gute Hoster gibt es
     
  3. Marcus[IS]

    Marcus[IS] Well-Known Member

    Registriert seit:
    23. August 2009
    Beiträge:
    5.443
    Zustimmungen:
    62
    Mojn,

    die Drei Dateien gehören meines Wissens nicht zum Standard WordPress.

    wp-count.php/wp_count.php wird bei Google öfter als Name einer Datei bei WordPress Hacks gelistet, daher nehme ich mal an das die anderen Dateinamen auch in diesem Zusammenhang stehen dürften.

    Bezüglich wp-clock.php, setzt du ein entsprechendes Plugin für Zeitanzeige oder ähnliches ein?
    Falls nicht, bzw. eine solche Datei sich im Hauptverzeichnis deiner WP-Installation befindet, ist diese garanteirt eingeschleust worden, da eine solche Datei im Standard WP sicher nicht existiert.

    Einfach die Dateien löschen wird dir nichts bringen, da mit Sicherheit auch schon anderer Dateien der WP-Installation, oder schlimmstenfalls sogar die Datenbank selber kompromittiert sein dürfte.

    Da dies bereits trotz älterem Backup passiert ist, wirst du nicht umhin kommen dir einen Profi zu beauftragen.

    Hast du auch die Passworte alle geändert, wie es immer empfohlen wird?

    Du solltest dir jedenfalls Professionelle Hilfe im Job-Forum suchen, es gibt hier ein paar User welche sich auf solche Fälle spezialisiert haben.
     
    danielgoehr gefällt das.
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.435
    Zustimmungen:
    48
    Wenn deine Webseite Schadcode enthält - und deine Besucher sich diesen Trojaner oder Virus installieren - dich dann vor lauter Begeiterung Schadenersatzpflichtig machen. (Trojaner Beseitigung kann teuer ... richtig teuer werden.

    Trojaner Emotet bei Heise: Schäden von weit über 50.000 Euro

    https://www.heise.de/security/meldung/Emotet-bei-Heise-Schaeden-von-weit-ueber-50-000-Euro-4444155.html

    Wenn du also eine Schadenersatzforderung hast - würdest du dann sagen: der Provider hätte mich doch wenigstens über die "angebliche Schadsoftware" informieren und meine Seite vom Netz nehmen können?


    wp-clocks.php, wp-count.php und wp_count.php sind nicht Teil von WordPress. Vermutlich hat ein Hacker hier diese Dateien sich erstellt und hatte damit schreibrechte auf deinem System.

    Ich hatte diese gelöscht und mich an den Provider gewandt und ihm das mitgeteilt.

    möchtest du faxen? oder gar telefonieren?

    Löschen von einzelenen Dateien bringt in der Regel nicht viel. Du musst die Sicherheitslücke finden und diese schließen. Eine Sicherheitslücke kann ein Plugin oder ein Theme sein. Besonders beliebt sind die Sicherheitslücken in gekauften Themes.


    Zu einem Provider der dich nicht über Schadecode informiert?
     
  5. Holger F

    Holger F Member

    Registriert seit:
    30. Juli 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Zitat von Holger F:
    Ich weiss, dass Probleme mit Providern hier nicht hingehören, möchte aber dennoch ein Meinungsbild einholen.

    Mein Providor hat meine WP-Homepage vom Netz genommen, weil es angeblich Schadsoftware enthält
    Wenn deine Webseite Schadcode enthält - und deine Besucher sich diesen Trojaner oder Virus installieren - dich dann vor lauter Begeiterung Schadenersatzpflichtig machen. (Trojaner Beseitigung kann teuer ... richtig teuer werden.

    Trojaner Emotet bei Heise: Schäden von weit über 50.000 Euro
    https://www.heise.de/security/meldung/Emotet-bei-Heise-Schaeden-von-weit-ueber-50-000-Euro-4444155.html

    Wenn du also eine Schadenersatzforderung hast - würdest du dann sagen: der Provider hätte mich doch wenigstens über die "angebliche Schadsoftware" informieren und meine Seite vom Netz nehmen können?

    Es ist schon korrekt, dass die Seite vom Netz genommen wird, damit nix passiert. Wünschte mir aber, dass ich besseren Kontakt zur Abuse-Abteilung habe (telefonisch), damit man schneller als jeweils 72 Stunden+ reagieren kann.
    Da ich nicht weiss, wie und wo ich da suchen soll, wäre eine bessere Kommunikation da hilfreich.


    Zitat von Holger F:
    Nach 120 Stunden habe ich eine erneute Email bekommen, dass nun folgende Dateien betroffen sind:
    wieder wp-clocks.php obwohl diese ja gelöscht war. Zusätzlich nun index.php, wp-cron.php, wp-settings.php und admin-bar.php

    Habe auch diese gelöscht und warte nun schon wieder seit knapp 100 Stunden auf eine Antwort.
    Löschen von einzelenen Dateien bringt in der Regel nicht viel. Du musst die Sicherheitslücke finden und diese schließen. Eine Sicherheitslücke kann ein Plugin oder ein Theme sein. Besonders beliebt sind die Sicherheitslücken in gekauften Themes.

    Da ich auf dem Gebiet ein Laie bin und lediglich Wordpress installiert habe, sowie sämtlich Updates immer wieder, ansonsten meine Seite nur mit Inhalten fülle, wäre eine bessere Unterstützung durch den Provider angedacht.
    Wie und wo soll ich eine Sicherheitslücke finden und entfernen ?


    Zitat von Holger F:
    Ich würde gerne zu einem anderen Provider wechseln

    Zu einem Provider der dich nicht über Schadecode informiert?

    Selbstverständlich nicht, aber zu einem Provider, der besser erreichbar ist und bei dem man bessere Unterstützung bekommt.
     
  6. Holger F

    Holger F Member

    Registriert seit:
    30. Juli 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Die WP-Passwörter kann ich ja erst wieder ändern, wenn meine Seite (Backend) wieder erreichbar ist. FTP bzw. SFTP habe ich geändert, aber die Seite kann ja immer noch nicht freigeschaltet werden. Irgendwo ist da wohl noch was. Ich weiss nur nicht, wo ich da suchen soll.

    Schlimmstenfalls muss ich alles deinstallieren und alles neu aufsetzen. Da hilft dann auch kein Backup (hat ja auch nicht hingehauen). Somuit fange ich dann wieder bei 0 an.

    Hatte eigentlich auch das Plugin für automatische Backups jede Woche. Die kann ich aber leider nur mit dem passenden Plugin wieder einspielen (oder ich bin zu blöd dazu).
    Da hätte ich ältere Backups als 1 Monat.
     
  7. Holger F

    Holger F Member

    Registriert seit:
    30. Juli 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Um es noch einmal klar und deutlich zu sagen:

    Ich finde es korrekt, dass der Provider aus Sicherheitsgründen die Seite vom Netz genommen hat.
    Finde es allerdings nicht gut, dass er nur per Email mit einer sehr langen Reaktionszeit erreichbar ist und nur Standardemailtexte sendet, was mich als Laie nicht viel weiterbringt.
    Da würde ein persönlicher Kontakt besser helfen.
     
  8. SirEctor

    SirEctor WPDE-Team
    Mitarbeiter

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    11.701
    Zustimmungen:
    312
    Ich kann den Provider verstehen. WordPress ist eine Drittanwendung und dein Provider hat damit nichts zu tun. Es wird sicherlich auch nicht seine Aufgabe sein Sicherheitslücken zu finden. Also warum dann einen telefonischen Support einrichten? Dieser Support würde dir dann antworten, dass sie dir nicht weiterhelfen können.

    Dir wurde geraten dich an einen Profi zu wenden, der dich bei deinem Problem unterstützt. Was anderes kann ich dir auch nicht raten. Wenn die Lücke gefunden und beseitigt ist und sämtliche Dateien und ggf. die Datenbank wieder sauber sind, dann wende dich an den Provider. Nur einzelne Dateien löschen bringt nichts.

    Welches Plugin für die Backups nutzt du?
     
  9. Holger F

    Holger F Member

    Registriert seit:
    30. Juli 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Nunja. in jeder der Emails vom Provider stehen andere Dateien und bis zur nächsten "häppchenweise" Information vergehen wieder ein paar Tage. Das bemängle ich.

    Ich nutze BackWPup. Hatte es so eingestellt, dass jede Woche eine Backup-Datei erstellt wird. Sowohl im Webspace (extra Ordner), als auch in meiner Dropbox.
    Komischerweise ist die Erstellung der Backup-Dateien in der Dropbox letztmalig vor 3 Monaten. Daher gehe ich davon aus, dass bereits seit 3 Monaten irgendetwas nicht stimmt. Da macht logischerweise das Zurückspiele des automatischen Backups meines Providers (1 Monat) keinen Sinn.
    Kann aber irgendwie die Backup-Datei aus der Dropbox nicht öffnen bzw. installieren.
     
  10. SirEctor

    SirEctor WPDE-Team
    Mitarbeiter

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    11.701
    Zustimmungen:
    312
  11. FloRet

    FloRet Well-Known Member

    Registriert seit:
    20. September 2016
    Beiträge:
    1.190
    Zustimmungen:
    89
    Hallo Holger!

    Hast Du den Schadcode bereits entfernen können? Vorher wird Dir das Abuse Team auch keine Freischaltung erteilen! Um welche Domain handelt es sich?

    Wenn Du, wie beschrieben, bereits 2 Wochen an der Sache arbeitest und noch immer keine Lösung in Sicht ist - würde ich schleunigst über einen Umzug zu einen anderen Hoster empfehlen!

    Hierzu gibt es im Forum und im Netz genügend Empfehlungen!

    Wenn Dir Support, Leistung usw. sehr wichtig ist, kann ich Dir mit besten Wissen all-inkl empfehlen!

    LG
     
  12. Holger F

    Holger F Member

    Registriert seit:
    30. Juli 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Danke. Leider bekomme ich, wenn ich eine neue Email von Abuse bekomme immer wieder neue Dateien genannt, die wohl infiziert sein sollen. Ich weiss nicht, wie ich ansonsten die Schadsoftware finden soll.
    Wenn ich diese Dateien gelöscht habe, schreibe ich wieder an Strato und warte weitere 72 Stunden+ auf eine Antwort.

    Wechseln kann ich erst wenn meine Vertragslaufzeit endet, da ich die Domain und die Emailadressen (toll wäre es mit den Emails) mitnehmen kann.
     
  13. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.401
    Zustimmungen:
    87
    Wechsel kannst du jederzeit, da ist die Vertragslaufzeit kein Hindernis. Das einzige ist das du bis zum Vertragsende zahlen musst.
     
  14. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    70
    Zustimmungen:
    7
    Das ist wirklich ein Graus bei Strato.
    Erstmal benennen die nur bröckchenweise die Schaddateien (womit wahrscheinlich erreicht werden soll, dass der Kunde selbst umfassend prüft/prüfen lässt).
    Dann ist der phpMyAdmin auch noch gesperrt, was das Ganzte zusätzlich erschwert.
    Und zu guter Letzt dauert jede Rückmeldung 3-5 Tage.

    Ich würde dir empfehlen WordPress mit allen Plugins und dem genutzten Theme neu zu installieren (z.B. lokal per XAMPP) und dann die alte Datenbank zu verbinden.
    • Bei Strato alles herunterladen/sichern
    • Auf dem Webspace alles löschen bis auf die wp-config.php (reinschauen, ob da alles i.O. ist)
    • WordPress lokal installieren
    • Das Theme installieren (oder aus originaler Quelle heruntergeladen in wp-content/themes platzieren)
    • Die Plugins frisch installieren
    • wp-content/uploads aus dem Original übernehmen (vorher schauen, dass keine PHP Dateien dabei sind)
    • Das Ganze wieder zu Strato hochladen
    • Zusammen mit der in vorheriger wp-config.php konfigurierten Datenbank sollte dann alles wieder da und sauber sein
    Wenn du direkt umziehen willst (oder das Ganze vor der Rückübertragung auch noch lokal inkl. der alten Datenbank testen wilst), kannst du per SSH einen SQL Dump generieren.
    https://www.strato.de/faq/hosting/so-einfach-koennen-sie-per-ssh-auf-ein-backup-ihrer-mysql-datenbank-zugreifen/

    Nach einem Hack solltest du die Datenbank/SQL Datei unbedingt auch noch nach <script Injections durchsuchen (STRG+F "<script").

    Abgesehen von der Support Reaktionszeit und dem grottigen Malware Handling find ich Strato super.. :)

    Gruß

    Pascal
     
  15. SirEctor

    SirEctor WPDE-Team
    Mitarbeiter

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    11.701
    Zustimmungen:
    312
    Das alles bringt nur kurzfristig was, wenn man die Sicherheitslücke nicht findet.
     
    FloRet gefällt das.
  16. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.377
    Zustimmungen:
    43
    Ich finde den Beitrag von @pascal88 auch eher schwierig.
    Er meint wahrscheinlich das richtige, allerdings ist das sicher keine vollständige Lösung zur Behebung eines Hacks. In der Praxis ist es oft nicht so eindeutig und, wie @SirEctor schon schreibt, sollte vor allem die Ursache des Hacks gefunden und behoben werden. Das Bereinigen allein hilft sonst wenig.

    Auch wenn ich jetzt keine Lanze für Strato brechen will... In dem Fall liegt die Verantwortung ganz klar bei @Holger F und nicht bei Strato. Die Analyse und Behebung eines Hacks ist Sache des Kunden und nicht des Hosters.
     
    #16 danielgoehr, 31. Juli 2019
    Zuletzt von einem Moderator bearbeitet: 31. Juli 2019
  17. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    70
    Zustimmungen:
    7
    Korrekt.
    Wie von mir beschrieben ist dann so jedenfalls alles aktuell und im Originalzustand - mögliche weitere beim Hack hinterlassene Backdoors, die von Strato beanstandet werden könnten, nicht mehr existent.

    Laut Strato gab es ja zumidest zeitweise ausstehende Updates.
    Die Chance, dass man sich ein momentan angreifbares Plugin direkt aus dem offiziellen Pluginverzeichnis installiert, ist verschwindend gering. Denn die werden entweder sehr schnell aktualisiert oder entfernt.

    Ich wüsste deshalb nicht, was an meinem Beitrag schwierig oder gar "falsch" sein sollte.

    Wenn es um das Finden der Sicherheitslücke geht, macht eine Analyse der Access Logs Sinn.
    @Holger F Die der letzten 6 Wochen kannst du dir hier herunterladen:
    https://www.strato.de/faq/hosting/wo-finde-ich-meine-logfiles/#logfiles_herunterladen
    Dann gern zur Prüfung hochladen.
     
    #17 pascal88, 31. Juli 2019
    Zuletzt bearbeitet: 31. Juli 2019
  18. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.401
    Zustimmungen:
    87
    Ich finde den Beitrag ganz OK. Es fehlt nur noch der Zusatz das Theme zu aktualisieren sowie alle Plugins auf den neusten Stand zu bringen.
    Zusätzlich sollte man noch prüfen, ob ein Plugin überhaupt noch gepflegt wird. Wenn nicht, dann muss man das Plugin entfernen.

    Danach sollte man ein Security Scanner laufen lassen, was Strato auch nur macht. Gibt der Scanner grünes Licht, wirst du es auch von Strato erhalten.
     
  19. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.377
    Zustimmungen:
    43
    Das ist gar nicht mal so unwahrscheinlich. Siehe z.B. Yuzo Related Posts, Ultimate Member oder Easy WP SMTP. Nur weil ein Plugin aktuell ist, kann es trotzdem Lücken enthalten, die aktiv ausgenutzt werden. Und das sind jetzt nur ein paar populäre Beispiele, die mir spontan einfallen, weil sehr viele Installationen betroffen waren.

    Falsch habe ich nicht gesagt. "Schwierig" finde ich es deshalb weil du (wie gesagt) die Ursachenfindung komplett weglässt. Ansonsten ist das schon ok so. Du beschreibst halt die Bereinigung der Installation. Allerdings halt auch viel "auf gut Glück", weil du nicht erklärst, wie man betroffen Dateien findet, den Hack möglicherweise identifizieren kann, etc. Das führt hier in einem Forenbeitrag auch sicher zu weit. Aber daraus ergibt sich ja auch erst das weitere Vorgehen. Jetzt einfach mal nach einem Script-Tag in der Datenbank suchen kann man natürlich machen, ist aber schon ziemlich ins blaue geschossen.

    Ich bezweifle ja nicht, dass du weißt, wie es richtig und vollständig geht. Aber deinen Beitrag werden eben möglicherweise auch viele Laien lesen und davon ausgehen, dass man so einen Hack behebt und das ist eben nur die halbe Wahrheit.

    Wenn man "nur" bereinigt sollte man seine Installation zumindest in nächster Zeit dringend überwachen und dann nicht warten, bis Strato wieder E-Mails schickt. Dazu eignet sich zum Beispiel das Plugin Wordfence (auch wenn ich generell kein großer Befürworter von Sicherheitsplugins bin, ist der Einsatz in solchen konkreten Fällen durchaus sinnvoll).
     
    #19 danielgoehr, 31. Juli 2019
    Zuletzt von einem Moderator bearbeitet: 31. Juli 2019
  20. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    5.897
    Zustimmungen:
    509
    Der erste und wichtigste Punkt ist: Anhand Server-Logs & Backups feststellen, wann/woher der Hack kam, Lücke identifizieren, Lücke schliessen.

    Danach kann man sich ans Neueinrichten oder Bereinigen usw. machen.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden