WordPress gehackt - Aktuelle Version

mimo · 29. Januar 2013

Moin,

mir ist gestern eine meiner WordPress Seiten gehackt worden. Zumindest wurde mir das von web.de mitgeteilt. WordPress war auf die aktuellsten Version (vor 2 Tagen geupdated).

Auf der Seite lief als Plugin (neuste Version) nur AntispamBe und Limit Login Attempts um Bruteforce entgegenzuwirken.
Präfixe wurden bei der Installation geändert und die wp-config.php wurde versteckt.
Passwort der Datenbank, WordPress und FTP sind 16 Stellig zufallsgenerierte Server Passwörter.

Was muss ich denn noch machen damit das nicht jederzeit wieder passiert..
Ich bin ein wenig erschüttert wie einfach es anscheinend für den Angreifer war WordPress zu hacken.

Hier die Nachricht:

PHP:
Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
Kann man das verhindern in Zukunft, wenn ja wie?!

Hille · 29. Januar 2013

Wie sieht bei deinem Theme aus, auch aktuell?

mfitzen · 29. Januar 2013

Um welche Seite geht´s denn? Bitte keine komplette URL posten!

So nicht: http://www.example.com
sondern so: example.com

Wie äußert sich der Hack?

mimo · 29. Januar 2013

Zitat von Hille: ↑

Wie sieht bei deinem Theme aus, auch aktuell?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

[h=4]Pilcrow müsste 1.1 sein ist ein kostenloses theme von der offi wordpress seite. Leider lassen sich ja Themes schlecht updaten wenn diese geändert wurden.[/h]

Zitat von infected: ↑

Wie äußert sich der Hack?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ich habe davon nichts gemerkt, ich wurde von web.de angeschrieben u.a. mit dem oben genannten Text.

Hille · 29. Januar 2013

Zitat von mimo: ↑

Leider lassen sich ja Themes schlecht updaten wenn diese geändert wurden.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Stichwort Child Theme . Das das Einfallstor die wp-login.php sein soll, kann ich mir schlecht vorstellen.

djmugge · 29. Januar 2013

Scheint mir über Rechte oder einen FTP Client passiert zu sein. Nutzt du zufällig den FileZilla? Dann mal den eigenen Rechner scannen. Die aufgeführten Dateien sind bekannt, hatte ich mehrfach auch in Joomla Installationen. Meist lag das an Schädlingen auf dem eigenen PC zusammen mit FileZilla und dem darin enthaltenen und fleissig genutzten Servermanager inkl. gespeicherter Passworter.

Also:
- lokalen Rechner scannen
- Servermanager nicht mehr nutzen!
- alle Passwörter nochmal ändern, wenn ALLES SAUBER IST.

mimo · 29. Januar 2013

FileZilla nutze ich genau. Hmm aber nen Virus hatte ich eigentlich nicht drauf.

mimo · 30. Januar 2013

Muss ich einfach die wp-login per htacess schützen damit das nicht mehr passiert? Vorraussgesetzt es war kein lokaler versteckter Virus.

derheimwerker · 30. Januar 2013

Leider lassen sich ja Themes schlecht updaten wenn diese geändert wurden.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Child-Themes

EDIT: Sorry, hab es oben überlesen.

Michi91 · 30. Januar 2013

hast du irgendwo eine timtumb.php (theme-ordner)? Ansonsten könnte ich mir schlechtes Passwort oder Trojaner/Keylogger vorstellen... web.de bemängelt ja explizit die wp-login.php

edit: und da slogin attempts ist auch die neuste version?? Vor knapp 8 Monaten wurde eine Sicherheitslücke in dem Plugin entdeckt...

edit2: Laut web haben immernoch einige leute probleme das login attempts umgangen wird... hast du zugriff auf die access-logs? guck mal wiedoft zugeriffen wurde

mfitzen · 30. Januar 2013

Ich würde ebenfalls auf die Filezilla-Problematik tippen. Ein infizierter Rechner + gespeicherte Verbindungsdaten = gehackter Server. Selbst schon erlebt.

Ich hätte ja zu gerne mal den Quellcode der Seite gesehen, aber die URL soll scheinbar ein Geheimnis bleiben (siehe Beitrag #3)

mimo · 30. Januar 2013

Zitat von infected: ↑

Ich würde ebenfalls auf die Filezilla-Problematik tippen...

Ich hätte ja zu gerne mal den Quellcode der Seite gesehen, aber die URL soll scheinbar ein Geheimnis bleiben (siehe Beitrag #3)
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Es wäre nicht unbedingt clever eine URL in ein öffentliches Forum zu stellen, wenn die Seite angreifbar ist. Ich habe Ihnen aber eine URL per Nachricht geschickt.

Zitat von Michi91: ↑

hast du irgendwo eine timtumb.php (theme-ordner)? Ansonsten könnte ich mir schlechtes Passwort oder Trojaner/Keylogger vorstellen... web.de bemängelt ja explizit die wp-login.php

edit: und da slogin attempts ist auch die neuste version?? Vor knapp 8 Monaten wurde eine Sicherheitslücke in dem Plugin entdeckt...
... hast du zugriff auf die access-logs? guck mal wiedoft zugeriffen wurde
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Hmn die Passwörter sind sicher - Server2 (gaijin).
Eine timtumb.php habe ich nicht gefunden
Auf login attempts kann ich derzeit nicht zugreifen da web.de den wordpress backend Zugang gesperrt hat.

Ich bin jetzt dazu übergegangan Better WP Security zu installieren (auf anderen WP Seiten) da scheint ja alles wichtige mitzubringen. Also zusammen mit wp-login und antivirus.

mfitzen · 30. Januar 2013

Zitat von mimo: ↑

Es wäre nicht unbedingt clever eine URL in ein öffentliches Forum zu stellen, wenn die Seite angreifbar ist. Ich habe Ihnen aber eine URL per Nachricht geschickt.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Schon richtig, aber deswegen habe ich in meinem ersten Beitrag ja extra geschrieben, wie die URL geposted werden kann, ohne dass irgendjemand durch unbewusstes anklicken sich was einfangen kann... Aber nun gut...

Habe mir den Quelltext mal angesehen, der ist soweit sauber. Auch sucuri.net meldet alles i.O. In WP selbst scheint sich da (auf den 1. Blick) nichts und niemand niedergelassen zu haben. Sichersein kann man da jedoch nie, deswegen auch nur "auf den 1. Blick". Sicherheitshalber sollten alle Dateien mit neu heruntergeladenen Dateien (von einem sauberen PC) ersetzt werden. Zusätzlich sollte nicht unerwähnt bleiben, dass eine Änderung aller Zugangsdaten erfolgen muss. Ggf. jemanden über das Unterforum Jobbörse suchen, der sich mit solchen Angriffen auskennt und die Seite/den Server auf Sicherheitslücken und Rückstände des Angreifers überprüft. Nur so als Tipp...

blacksunshine · 14. Januar 2014

hallo, ich bin per google auf dieses forum gestoßen. leider wurden meine seiten auch gehackt. ich habe extreme server auslastungen die meine seiten immer zum absturz zwingt. ich habe nun schon alle daten gelöscht, alle passwörter geändert und ein altes backup hochgeladen... leider ohne erfolg. ich checke nun mal meinen pc vielleicht finde ich da was!

mfitzen · 14. Januar 2014

Auch hier die Frage: Wie kommst Du darauf, dass Deine Seite gehacked wurde? Serverauslastungen können auch andere Ursachen haben. Stichwort Shared Hosting.

WPDE.org

WordPress gehackt - Aktuelle Version

mimo Well-Known Member

Hille Well-Known Member

mfitzen Well-Known Member

mimo Well-Known Member

Hille Well-Known Member

djmugge Well-Known Member

mimo Well-Known Member

mimo Well-Known Member

derheimwerker Well-Known Member

Michi91 Well-Known Member

mfitzen Well-Known Member

mimo Well-Known Member

mfitzen Well-Known Member

blacksunshine New Member

mfitzen Well-Known Member

Nützliche Suchen

WordPress gehackt - Aktuelle Version

mimo Well-Known Member

Hille Well-Known Member

mfitzen Well-Known Member

mimo Well-Known Member

Hille Well-Known Member

djmugge Well-Known Member

mimo Well-Known Member

mimo Well-Known Member

derheimwerker Well-Known Member

Michi91 Well-Known Member

mfitzen Well-Known Member

mimo Well-Known Member

mfitzen Well-Known Member

blacksunshine New Member

mfitzen Well-Known Member