1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress gehackt und Umleitung eingebaut

Dieses Thema im Forum "Allgemeines" wurde erstellt von Benedikt86, 12. November 2018.

  1. Benedikt86

    Benedikt86 New Member

    Registriert seit:
    12. November 2018
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo zusammen,

    ich habe ein ganz großes Problem. Ich habe für meinen Onkel eine Internetseite erstellt und die lief bis heute auch Problemlos. Letzte Woche hatten sich dann dubiose Mails als Benutzer registriert. Diese habe ich, nachdem ich die Info-Mail bekommen habe sofort gelöscht und auch die Registrierung komplett deaktiviert.

    Nun ist seit heute Nachmittag die Internetseite bzw. beide Internetseiten nicht mehr erreichbar.

    schleifservice-lutz.de wie auch naehmaschinen-lutz.de werden sofort auf eine fremde Seite umgeleitet.

    Ich habe google schon befragt aber bisher keine hilfreiche Antwort gefunden. Es wäre wirklich super wenn ihr mir helfen könnt diesen Angriff zu beheben.

    Schon jetzt ein ganz großes Dankeschön für eure Hilfe!!

    Achja, das Dashboard ist bei beiden Seiten nicht erreichbar.
     
    #1 Benedikt86, 12. November 2018
  2. wp-entwickler

    wp-entwickler Well-Known Member

    Registriert seit:
    23. Oktober 2018
    Beiträge:
    124
    Zustimmungen:
    17
    Schau dir die Dateien per FTP an.
    Besonders welche kürzlich geändert wurden.
    .htaccess würde ich zuerst anschauen.
     
    #2 wp-entwickler, 12. November 2018
  3. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.660
    Zustimmungen:
    1.783
    Schau mal die siteurl in den Datenbanken in der jeweiligen Tabelle wp_options an, ähnlich wie hier.
     
    #3 b3317133, 12. November 2018
    Zuletzt bearbeitet: 12. November 2018
  4. Benedikt86

    Benedikt86 New Member

    Registriert seit:
    12. November 2018
    Beiträge:
    4
    Zustimmungen:
    0
    vielen Dank für die schnellen Rückmeldungen. Bei den Dateien bin ich bisher nicht fündig geworden. Die hatte ich auch im Vorfeld schon einmal gecheckt, da dies auch meine erste Idee war.

    Die Datenbank werde ich mir einmal genauer anschauen und mich dann wieder melden.
     
    #4 Benedikt86, 12. November 2018
  5. Benedikt86

    Benedikt86 New Member

    Registriert seit:
    12. November 2018
    Beiträge:
    4
    Zustimmungen:
    0
    alles klar. in der Datenbank ist die siteurl geändert worden. Jetzt funktioniert wieder alles.

    Habt ihr mir vielleicht einen Vorschlag wie ich solche Änderungen unterbinden kann? Gibt es da ein empfehlenswertes Plugin?
     
    #5 Benedikt86, 12. November 2018
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.346
    Zustimmungen:
    587
    Warum sollte ein Hacker "nur" die siteurl ändern, wenn er augenscheinlich _schreibrechte_ für die Datenbank hat(te)

    1. du musst die Sicherheitslücke suchen und beseitigen (lassen)
    https://de.wikipedia.org/wiki/SQL-Injection

    eine Sicherheitslücke könnte zum Beispiel
    https://www.heise.de/security/meldung/Schwerwiegendes-Schwachstelle-in-DSGVO-Plugin-fuer-WordPress-4217962.html
    sein.

    mit PHP möchtest du Sicherheitslücken in PHP finden? mmh... ja ... es gibt für PHP eine Erweiterung
    https://suhosin.org/stories/index.html

    Suhosin ist eine von Stefan Esser geschriebene Sicherheits-Erweiterung für PHP. Sinnvoll ist Suhosin besonders für den Einsatz älterer PHP-Software, die unter Umständen noch bestimmte Sicherheitslücken aufweist, die z.B Cross-Site-Scripting (XSS) und andere Angriffe ermöglichen.
     
    #6 r23, 12. November 2018
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.660
    Zustimmungen:
    1.783
    Der Hacker hatte über die im Beispiel genannte und derzeit massiv genutzte Sicherheitslücke Schreibrechte für update_option() und konnte damit entweder einfach nur die siteurl überschreiben oder wenn er/sie/es mehr Lust/Expertise/Ein besseres Script gekauft hatte, den Laden ganz übernehmen mit users_can_register -> 1 und default_role -> administrator und einen neuen Benutzer registrieren, der dann autom. ein Admin wird, meist admin13, t2trollherten, t3trollherten o.ä., und darüber dann auch entspr. Backdoors für später einbaut/hinterlässt.

    Daher und aber auch generell bei jedem Hack ist eine umfassende Analyse aller Dateien in allen per PHP zugänglichen Ordnern und Dateien auf dem Server und dem gesamten Inhalt der Datenbank die einzig richtige Herangehensweise.

    Das Entfernen eines Symptoms entfernt oft nicht wirklich auch die wahre Ursache bzw. sonstige Hinterlassenschaften.
     
    #7 b3317133, 12. November 2018
  8. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.660
    Zustimmungen:
    1.783
    Du könntest z.B. das Plugin WP GDRP Compliance, über das der Hacker eingebrochen ist, und das beim ersten o.g. Website nach wie vor in der Version 1.4.2 online ist, auf die Version 1.4.3 mit dem entspr. Fix aktualisieren. o_O
     
    #8 b3317133, 12. November 2018
  9. Benedikt86

    Benedikt86 New Member

    Registriert seit:
    12. November 2018
    Beiträge:
    4
    Zustimmungen:
    0
    wie ihr schon richtig vermutet habt, ist zu 99% über die DSGVO-Erweiterung passiert.
    t2trollherten, t3trollherten sind auch die beiden Benutzer gewesen die angelegt und von mir umgehend wieder gelöscht wurden. Außerdem konnte ich auch die wp_cache.php finden und löschen.

    Reicht es denn aus, wenn ich ein Backup von vor der registrierung der entsprechenden Nutzer einspiele? Damit sollten ja alle möglichen Veränderungen die seit dem vorgenommen wurden behoben sein.
     
    #9 Benedikt86, 12. November 2018
  10. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.660
    Zustimmungen:
    1.783
    #10 b3317133, 12. November 2018
  11. Hadestid

    Hadestid Gesperrt

    Registriert seit:
    7. November 2018
    Beiträge:
    11
    Zustimmungen:
    0
    es klingt gut und großartig.
     
    #11 Hadestid, 14. November 2018
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden