1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress gehackt

Dieses Thema im Forum "Allgemeines" wurde erstellt von Ben_234, 8. Juni 2018.

  1. Ben_234

    Ben_234 Member

    Registriert seit:
    7. Juni 2018
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo Zusammen,

    meine Seite wurde gestern gehackt.

    Plötzlich konnte ich mich nicht mehr einloggen. Obwohl user und PW garantiert richtig waren.
    Über die Passwort wiederherstellen Funktion mittels email Adresse konnte ich mich dann einloggen.

    Mein vorheriger Admin account war umbenannt in Monkey, einem ehemaligen Kunden (der hatte natürlich die Kundenrolle)

    Habe dann einen neuen admin erzeugt, ausgeloggt , mit neuem Adin eigeloggt und den admin "Monkey" gelöscht. Nach ca. 1 Minute wurde ich von Wordpress automatisch ausgeloggt. Das geliche Spiel dann noch zwei mal.

    Da wurde ich nervös.
    Mails durchgesehen, IThemes Security verschickt ja bei logins und Änderungen am System mails: User "Monkey" hat eine Minute nach der Anmeldung (und das beim ersten Versuch ! IThemes Security sperrt ja Nutzer aus bei mehrfache falschen login Daten, weshalb brute force eigentlich auszuschließen ist)
    eine *.zip Datei mit Namen Nexus. zip in das Medienverzeichnis hochgeladen. Alles von der IP
    36.70.23.231 , Indonesien !

    Daraufhin habe ich erstmal alles plattgemacht !

    Im Home Verzeichnis lagen in sehr vielen Verzeichnissen eine php script Datei mit namen wp-organizer.php

    Hier der Header und die ersten Zeilen:

    ######################################################
    #Title : Con7ext Mini Shell ( Con7ext Web Shell v.2 )#
    #Kelebihan : Biasanya Undetect di server yg auto apus#
    #shell #
    #Dilengkapi Dengan Bypass Tools #
    #Backconnect Tools dengan 4 pilihan #
    ######################################################
    session_start();
    set_time_limit(0);
    error_reporting(0);
    $auth_pass = "d0763edaa9d9bd2a9516280e9044d885";

    bei bedarf lade ich euch die ganze php datei hoch.

    Sucht man bei google und youtube nach " Dilengkapi Dengan Bypass Tools" kommen viele Ergebnisse , unter anderem auch Videos, wie es scheint tatsächlich aus dem asiatisch/Indonesiscehn Raum.


    Was meinen die Experten hier dazu ?

    Viele Grüße,
    Ben_234
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.403
    Zustimmungen:
    575
    Hier mein Textblock zum weiteren Vorgehen: Komplettbackup zur Beweissicherung erstellen. Anhand Server-Logs & älterer Backups feststellen, wann/woher der Hack kam, Lücke identifizieren, Lücke schliessen. Wenn das erledigt ist: Alle Systemdateien von WordPress ersetzen, dafür wp-admin/ und wp-includes/ komplett löschen. Alle Plugins durch saubere Versionen ersetzen, dafür alle Ordner in wp-content/plugins/ löschen, gleiches gilt für das Theme. Alle PHP-Dateien in wp-content/uploads/ suchen/löschen. Alle Passwörter ändern, FTP, MySQL, WordPress Accounts, usw.
     
  3. Nobissoft

    Nobissoft Well-Known Member

    Registriert seit:
    12. Dezember 2015
    Beiträge:
    226
    Zustimmungen:
    13
    Diese Hacker sind die Pest! Und was geht da für Lebenszeit dieser Idioten drauf und für was für ein Ergebnis. IDIOTENPack!

    Bei mir werden auch jeden Tag Hackversuche in einer Liste angezeigt. Ich habe das jetzt komplett unterbunden indem ich bei dem ersten Versuch schon die IP Adresse für 36 Stunden sperren lasse.

    Dabei ist es natürlich nicht hilfreich das Buddypress ein Mitgliederverzeichnis anlegt das dann auch im Inhaltverzeichnis angezeigt wird, worüber sich diese Hackeridioten dann die angemeldeten Usernamen besorgen. Ich habe versucht das nicht darzustellen, allerdings läuft dann das komplette Nachrichtensystem auf Wordpress/Buddypress nicht mehr. Vielleicht hat ja Jemand eine Idee?!
     
    #3 Nobissoft, 9. Juni 2018
    Zuletzt bearbeitet: 9. Juni 2018
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.403
    Zustimmungen:
    575
    Zum grössten Teil sind das Problem einfach zu schwache Passwörter für den Admin Account. An zweiter Stelle kommen Themes & Plugins aus obskuren Quellen, mit Backdoor inklusive, weil jemand meint, unbedingt 29$ für eine Lizenz sparen zu müssen. An dritter Stelle hoffnungslos veraltete Themes & Plugins, die Sicherheitslücken enthalten. Und an vierter Stelle andere Systeme im gleichen Hosting Webspace, z.B. eine alte Joomla oder vBulletin o.ä. Installation, die gehackt und von da aus dann auch mehr oder weniger automatisch WordPress verseucht wird. An fünfter Stelle ganz normale Trojaner auf dem PC/Mac, die dann FTP-Passwörter abgreifen.

    Lebenszeit von Angreifern geht keine drauf, das sind vollautomatisierte Scripts, bei gut im Netz präsenten Websites sind ein paar hundert Versuche am Tag keine Seltenheit, den Scripts ist es auch erstmal egal, ob da WordPress läuft oder nicht.

    Mit normalen Accounts kann ein Script dann nichts bzw. kaum was anfangen, aber es probiert einfach alles mögliche durch.

    Die Benutzernamen und auch die WordPress-Version sind in WordPress kein Geheimnis, auch wenn irgendwelche Tutorials Hinweise zum "Verstecken" geben, meist wird irgendwo was vergessen...

    Ein passend starkes Passwort bekommt man, indem man im Benutzerprofil den Button "Passwort generieren" verwendet.
     
    #4 b3317133, 9. Juni 2018
    Zuletzt bearbeitet: 9. Juni 2018
    wieseljoe gefällt das.
  5. Ben_234

    Ben_234 Member

    Registriert seit:
    7. Juni 2018
    Beiträge:
    5
    Zustimmungen:
    0
    Vielen Dank für eure Antworten ! Bin gerade etwas beschäftigt.

    Was ich sagen kann: Der Angreifer hat genau einen Versuch benötigt ! Also kein Brute force.
    Ich konnte das über das Plugin IThemes Security nachvollziehen !

    Die haben einen anderen Weg gefunden, siehe den Header in dem wp-organizer.php script, da gibt es Youtube videos dazu.
    Anscheinend läuft das irgendwie über ein script in einer speziellen Linux Distribution.

    Ein erster pragmatischer Ansatz, bis auf weiteres : Whitlist IP für login page in .htaccess Datei !

    Damit komme nur noch ich auf die Login Seite !

    Über weitere Anregungen, besonders wie es dem Indonesischen Angreifer gelungen ist einzudringen, würde ich mich freuen.
    Btw, wordpress und alle plugins waren auf dem letzen Stand !
     
  6. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.403
    Zustimmungen:
    575
    Das Plugin IThemes Security kann nur Dinge protokollieren, die innerhalb von WordPress passieren.

    Eine Whitelist für Login nutzt wenig, wenn nicht geklärt ist, wie der Angreifer fremde Dateien wie wp-organizer.php auf den Server geladen hat. Siehe ab "am zweiter Stelle" usw. oben...

    Über hochgeladene Dateien kann man z.B. die Datenbank-Zugangsdaten aus wp-config.php auslesen und einen neuen Admin direkt in die Datenbank schreiben, an WordPress und damit iThemes usw. vorbei.
     
  7. Ben_234

    Ben_234 Member

    Registriert seit:
    7. Juni 2018
    Beiträge:
    5
    Zustimmungen:
    0
    Ich verwende einen shared Server bei HostGator. Habe die schon beauftragt eine root cause Analyse durchzuführen. Leider sind die nicht besonders flink.
    Ist es den prinzipiell möglich vom Dashboard aus Zugang zum home directory auf dem Server zu bekommen, bzw. dort eine Datei abzulegen ?
    Es wurde ja eine *.zip Datei in dem Medien Ordner abgelegt. Leider ist diese beim Vorschnellen löschen des Contents verloren gegangen.
     
  8. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.403
    Zustimmungen:
    575
    Welches Dashboard meinst Du? Bei den meisten Hostinganbietern gibt es in deren Dashboard einen WebFTP o.ä. zum Einspielen von Dateien, bzw. wenn jemand dort Zugriff hat, legt er/sie ggf. einfach einen eigenen, neuen FTP-Account an...
     
  9. Ben_234

    Ben_234 Member

    Registriert seit:
    7. Juni 2018
    Beiträge:
    5
    Zustimmungen:
    0
    Ich meine das Wordpress Dashboard. Von dort wurde die zip Datei hochgeladen. Genau eine Minute nach erfolgreichem Login.
    Um Zugriff auf das cPanel von Hostgator zu bekommen, müsste schon meine googlemail Adresse gehackt sein.
     
  10. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.403
    Zustimmungen:
    575
    Wenn in WordPress im Menü unter "Plugins" oder "Design" ein Punkt "Editor" steht (mehr dazu hier), kann man z.B. darüber den PHP-Code von Plugin- oder Theme-Dateien verändern. Darüber kann man im allen von PHP aus erreichbaren Dateipfaden Dateien ablegen und ausführen...

    Weiterhin kann man über das WordPress Dashboard auch einfach ein eigenes Theme oder ein kleines Plugin hochladen und aktivieren. Auch das führt beliebigen PHP Code aus.

    Beides setzt einen Benutzer mit entspr. Zugriffsrechten in WordPress voraus.

    Die genannte .zip Datei wurde offenbar über die Mediathek hochgeladen, ist das richtig? Über die Mediathek alleine kann kein Code ausgeführt werden, allerdings kann der Link zum .zip für Dritte zum Download weitergegeben werden, oder beim o.g. Ausführen von PHP-Code auch irgendwohin entpackt und dann weitergenutzt werden o.ä.

    Für Zugriff auf Dein cPanel reicht auch ein einfacher Trojaner auf Deinem PC, ggf. auch ein Browser-Plugin o.ä., das irgendwas macht und im Hintergrund fleissig Kennwörter sammelt... siehe "fünfte Stelle" oben.

    Kurz, es gibt hier viele Möglichkeiten.

    Daher auch für Mitleser immer meinen ersten Hinweis beachten, als allererstes ein komplettes Backup erstellen, für die spätere Ursachenforschung...
     
    #10 b3317133, 9. Juni 2018
    Zuletzt bearbeitet: 9. Juni 2018
  11. Nobissoft

    Nobissoft Well-Known Member

    Registriert seit:
    12. Dezember 2015
    Beiträge:
    226
    Zustimmungen:
    13
    Nach meinem gestrigen Kommentar hier, siehe oben, lief dann heute Nacht, weil sich wohl einer dieser Vollspacken auf den Schlips getreten fühlte, DDOS und Hackangriffe auf meinen Seiten :)

    Liebe Hacker, es sind private Webseiten, die ich auch sofort abschalten könnte. Also verpisst euch einfach und versucht mal was Positives zutun, geht z.B. mal in Krankenhäuser zu den Schwerkranken oder in Altenheim und lest den Leute da was vor oder lernt für die Schule!

    Weiter denke ich sollte hier auch die Politik endlich mal in die Hufe kommen und diese Dinge unter Strafe stellen und auch verfolgen. Aber da sie die Entwicklung in den letzen Jahrzehnten im Bereich IT einafach verschlafen haben, wird dies wohl noch einige Zeit dauern, bis auch der kleine Mann zum Erfolg kommt. Meine diversen Anzeigen wurden ALLE komplett eingestellt Täter nicht zu ermitteln :)
     
    #11 Nobissoft, 10. Juni 2018
    Zuletzt bearbeitet: 10. Juni 2018
    wieseljoe gefällt das.
  12. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.403
    Zustimmungen:
    575
    Irgendwelche Angriffe auf Deine Seiten laufen sicher nicht, weil Du hier was postest, sondern weil oft vor/an Wochenenden diese automatischen Scripts noch viel mehr losgelassen werden...
     
  13. Ben_234

    Ben_234 Member

    Registriert seit:
    7. Juni 2018
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo b3317133,

    danke für deine Tipps und Ratschläge !

    Stimmt genau, über die Mediathek wurde das *.zip hochgeladen.

    Falls auch mein Computer kompromittiert wurde, welches Programm empfielst du mir zur Säuberung ?

    Fürs erste werde ich mal einen frischen anderen Computer nehmen, und vom Serverbetreiber ein komplettes Update einspielen lassen.
    Dann so schnell es geht Bentzernamen, Kennwörter auswechseln und eine IP Whitelist via .htaccess darüberstülpen.

    Mal sehen was dann passiert...

    Ich hoffe ja, es war ein einfacher Trophäenjäger und kein Auftragshacker (da hängt nämlich ein shop dran)...
     
  14. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.433
    Zustimmungen:
    93
    Wenn da ein Shop dran hängt und somit auch Kundendaten dann musst du den Hack melden, laut DSGVO.

    Ein Update wird da vermutlich nichts bringen, da die Lücke da noch da sein wird.

    Wenn du damit dein Geld verdienst, solltest du ein Profi dran lassen.
     
  15. wieseljoe

    wieseljoe Member

    Registriert seit:
    27. Oktober 2019
    Beiträge:
    5
    Zustimmungen:
    0
    Ätzend. Ich betreue eine Seite von einem Tierschutzverein. Bei dieser wurden gestern 400 (!!) IPs gesperrt (wg Bruteforce). Überwiegend im 30 Sekunden Takt über verschiedene IPs. Einfach Ätzend. Ich verbring derzeit mehr Zeit mit der Fahndung, als mit der Gestaltung der Inhalte.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden