1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Upload Ordner gehackt

Dieses Thema im Forum "Allgemeines" wurde erstellt von RaiX, 6. Dezember 2013.

Schlagworte:
  1. RaiX

    RaiX Active Member

    Registriert seit:
    6. Dezember 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Gestern sah ich mir meine Webstatistiken an, die vom Webhoster automatisch angelegt werden. Dabei habe ich festgestellt, dass von einem Blog unglaublich viele Seitenaufrufe waren, mit denen ich überhaupt nichts anfangen konnte.


    Die Url lautete sinngemäß: Meine Domain / blog/ uploads / Unterordner 2006 / und dann verschiedene Urls die immer etwas mit ugg oder ugg boots usw. hatten. Die Endung der Url lautete dann immer .php
    Ich habe mir dann eine dieser Seiten angeschaut und die hieß tatsächlich wie von meiner Domain, aber zeigte eine WordPress Seite an, die nicht von mir stammte.


    Dann habe ich per ftp auf meinem Webspace nachgesehen und es war in dem besagten Ordner Uploads / 2006 eine komplett fremde WordPress Installation drin.


    Diese habe ich näher untersucht und festgestellt, dass diese noch weitere Plugins hatte, die in WordPress nichts zu suchen haben. Und zwar ein Tool, welches die XML-RPC Schnittstelle bearbeitet bzw. manipuliert, so dass ein Einfallstor entstand.


    Desweiteren waren Tools dabei, die ein PHP Srcipt ausführen können, eines welches Webseiten umlenkt und eines mit Statistiken.
    Das letzte Tool konnte ich nicht lesen, weil es verschlüsselt war.
    Der Hacker hatte sogar eine Sitemap, mit unzähligen Urls zum gleichen Produkt angelegt.


    Ich habe Kontakt mit dem Webhoster aufgenommen und dieser hat bestätigt, dass im Ordner Upload Dateien angelegt wurden, die durch ein Script verursacht wurden. Mit den Tipps des Providers habe ich dann per ftp mir die Rechte an diesen Dateien geholt. Denn diese hatte ich nicht, sondern ein anderer User.


    Dieser andere User hatte sich aber nicht in meine Datenbank rein gehackt, sondern in seiner WordPress Installation war sogar eine wp-config.php mit seinen Daten. Sprich er hat seine eigene Datenbank verwendet.
    Habe dann über Whois versucht herauszufinden, was für ein Server das ist. Aber das war ohne Ergebnis bzw. wird nicht angezeigt.


    Nach dem ich, wie bereits erwähnt, die Rechte zu allen Dateien wiederhergestellt hatte, konnte ich alles löschen. Dazu habe ich die radikalste Methode gewählt und das Jahr 2006 komplett ausgelöscht.
    Ein BackUp seiner Dateien war übrigens auch vorhanden. Dies war unter meine domain/ blog/ abag/ angelegt.
    Letztendlich habe ich jetzt alles sauber bekommen. Teils neu installiert, teils Dinge vollständig gelöscht und mindestens 10 Stunden Arbeit reingesteckt.



    Ich habe dann recherchiert, was dieser uggs überhaupt ist. Seitenweise findet man dann Ergebnisse, dass Webseiten gehackt wurden und auch Foren. Anfang des Jahres gab es Warnungen, dass ein bösartiges Script von denen auf Facebook wütet. Von gehackten WordPress Seiten habe ich nichts gefunden. Vielleicht ist das auch recht neu und noch nicht aufgefallen. Weil du merkst es einfach nicht, sondern erst wenn du deine Webstatistiken genau ansiehst und da etwas dabei ist, was von dir ist, aber du nie veröffentlicht hattest.

    Hilfe brauche ich momentan nicht. Sondern es ist eher eine Warnung.
     
  2. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.189
    Zustimmungen:
    16
    Hilfe nicht, aber ein wenig Werbung für die Philippinen?

    Danke für die Info und denke daran: alles was mehr als 180 Zeichen hat, wird ignoriert :)
     
  3. g3h

    g3h Well-Known Member

    Registriert seit:
    25. Juni 2013
    Beiträge:
    661
    Zustimmungen:
    0
    Hi, danke das du uns das mitgeteilt hast !
    Was hast du unternommen, um das in Zukunft zu vermeiden ?

    MfG
     
  4. RaiX

    RaiX Active Member

    Registriert seit:
    6. Dezember 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Ich habe den Upload Ordner auf CHMOD 757 gesetzt.
    Die XML-RPC per .htaccess dichtgemacht.
    Den Codeschnipsel habe ich von diesem Blog hier.
    Nachteil diser Maßnahme ist wohl, dass keine Trackbacks zu mir möglich sind
    und ich nicht mehr mit der Handy-App moderieren oder posten kann.
    Und drittens habe ich das Plugin WP-Security-Scan installiert.
    Damit kann ich täglich prüfen, ob Dateien verändert wurden.
     
  5. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Was bitte sollen denn die Rechte 757 für den Upload-Ordner bringen? Schreibrechte für "jeden" bringen kein Mehr an Sicherheit oder wozu soll das gut sein?

    Gruß
    Ingo
     
  6. RaiX

    RaiX Active Member

    Registriert seit:
    6. Dezember 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Was wäre richtig ?

    Nachtrag: Habe es gefunden.
    Laut Wp-Security-Scan Empfehlung 755
     
    #6 RaiX, 7. Dezember 2013
    Zuletzt bearbeitet: 7. Dezember 2013
  7. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Hast du die Sicherheitslücke gefunden und geschlossen - sonst installiert man dir in 5 minuten nocheinmal wordpress.

    Viel Glück

    ralf
     
  8. g3h

    g3h Well-Known Member

    Registriert seit:
    25. Juni 2013
    Beiträge:
    661
    Zustimmungen:
    0
  9. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    Das stimmt so nicht. Wenn du schon einen Beitrag liest, dann lese nicht nur die ersten 2 Zeilen.
     
  10. RaiX

    RaiX Active Member

    Registriert seit:
    6. Dezember 2007
    Beiträge:
    30
    Zustimmungen:
    0
    Ja ich weiß. Danke trotzdem.
    Momentan habe ich mir für den auf der verlinkten Seite oberen Codeschnipsel entschieden.

    Desweiteren ist natürlich auch das Ausführen von PHP-Dateien im Upload Ordner ganz untersagt, so wie es g3h postete.
     
  11. sergej.mueller

    sergej.mueller Well-Known Member

    Registriert seit:
    18. Februar 2008
    Beiträge:
    273
    Zustimmungen:
    0
    Ok, der (Snippet) ist dann wasserdicht ;)
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden