Seite das 2. Mal gehackt. Suche Hilfe!

Ist es eine Frage oder suchst du professionelle Unterstützung ?

 

Das erklärt warum man keine Antwort bekommt.

 

aufgeben ist nicht!

das kommt einer Niederlage gleich und ich spiele gern spiele, wo es keine Sieger und Verlierer gibt, aber sowas nagt ewigst und drei Tag in dir drin.

1. ich kenne Hoster, die Dateien mit der Aufzählung der infiszierten Bereiche auf den FTP legen, ganz automatisch.

2. zb all-inkl.com macht das und sicher andere auch.

3. frag im Verein, ob man nicht dorthin wechseln möchte,sie wollen eine Site, sie wollen,dass die gut administrierbar bleibt und ist und dass sie ehrenamtliche finden, die das tun!

nimm den Verein auch in die Haftung, du machst das ja für sie...

4. du hast ein Datenbankbackup?
wenn ja heb das gut auf...
lösch die Site nicht, da hängt ein Domainname drauf, an und für sich müßte der dem Verein gehören ...

5. es geht nicht um tausende Euros, es geht darum, dass wenn der Verein eine Website haben mag, sich auch der Verantwortung bewusst sein muss.
da muss der Vorstand in die Verantwortung mit geholt werden.

 

Aufgeben? Wegen einem unfähigen Provider? Das du genervt bist ist klar. Wir können dir hier aber etwas helfen.

1. Angriffe erfolgen zurzeit über upload Scripte in Template und Plugins:

/themes/parallelus-mingle/framework/utilities/download/getfile.php?file=../../../../../../wp-config.php
/wp-content/themes/persuasion/lib/scripts/dl-skin.php
/themes/urbancity/lib/scripts/download.php?file=../../../../../wp-config.php
/wp-content/force-download.php?file=../wp-config.php

^- innerhalb von Sekunden werden ca. 80 Sicherheitslücken erraten.

In deinen Logfiles kannst du diese Links nach meinem Beispiel sicherlich erkennen. Solltest du auf deinem Server ein deratiges Script haben - hast du eine Sicherheitslücke gefunden und kannst diese besteigen (lassen)

2. in der https://www.exploit-db.com/ Datenbank kannst du prüfen ob eines deiner Plugins oder Themes genannte wurde - wenn ja - hast du eine Sicherheitslücke gefunden.

3. php Scripte haben in dem ~/wp-content/uplaods/ ordner nichts verloren. Wenn du dort PHP Scripte hast lösche diese.

4 absichern
- Verhindere zum Beispiel das Ausführen von PHP Scripten in dem Verzeichnis ~/wp-content/uplaods/

Dies kannst du bei einem Apache mit meiner .htaccess machen
hier meine
https://github.com/r23/MyOOS/blob/master/blog/wordpress/.htaccess


Hier kannst du gleich xmlrpc.php deaktivieren

# löschen in
aus

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

wird

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

5. du kannst keiner Datei mehr trauen
löschen nicht WordPress aus
~/wp-includes/
~/wp-admin/
~/

Für den Selbermacher:
alles - auch unterverzeichnis in
~/wp-admin/ löschen

alles - auch Unterverzeichnis in
~/wp-includes/ löschen

alles ausser .htaccess und wp-content.php in
~/ (Doc root von WordPress)
ohne Unterverzeichnis löschen.

Aus einer vertrauensvollen Quelle WordPress besorgen und übertragen

Den Inahlt der nicht gelöschten Dateien ( .htaccess und wp-content.php) prüfen.

6. Den Admin-Bereich mit HTTP-Authentifizierung schützen
https://de.wikipedia.org/wiki/HTTP-Authentifizierung

7. Selbstverständlich hat ein Angreifer auch Scripte in
~/wp-content geändert. und neue hizugefügt. Auch diese Änderungen solltest du suchen und beseitigen.

 

Auch damit rechnen, dass der eigene Rechner irgendwelchen Müll installiert hat. Insbesondere, wenn im plugins Verzeichnis Schadsoftware installiert werden konnte (wp-backup-made ist kein Plugin) und dort keine Schreibrechte existieren.
Ist auf jeden Fall der Fall, wenn ftp Daten gefragt werden beim installieren von Plugins.
Ftp Programme speichern Passwörter in der Regel nicht verschlüsselt ab und viele Schadsoftwares greifen diese ab und schicken sie weiter.
Daher ist die Kombination Passwörter im ftp/ssh Programm speichern und Schadsoftware auf dem eigenen Rechner auch für viele gehackte Seiten verantwortlich.

Also kurzgefasst und wenn Beschriebenes passiert sein könnte:
Passwörter ändern und auf dem PC nur zb mit Keypass speichern.
Das muss nicht die Lücke sein, kann aber.

 

Hallo,

schau dir mal meinen Beitrag zum Thema Backdoors finden an - der richtet sich an die Profis bzw. technisch versierten:
https://www.damianschwyrz.de/php-backdoors-und-shells-finden-eine-kurze-anleitung/

So etwas ist alles andere als leicht, falls du nicht klarkommst, biete ich mich gerne an! Kontaktdaten findet man auf der Website.

Allgemein:

Virenscanner bringen bei den meisten PHP Backdoors nichts. Höhstens bekannte Shells werden damit gefunden. WordFence schützt nicht vor Zugriffen via Shells etc. Was heißt das? Übersieht man nur eine Shell/Backdoor, darf man sicher sein, dass früher oder später das ganze von vorne losgeht!