1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WordPress Seite gehackt?

Dieses Thema im Forum "Allgemeines" wurde erstellt von maxsei, 19. November 2017.

  1. maxsei

    maxsei Member

    Registriert seit:
    23. April 2014
    Beiträge:
    13
    Zustimmungen:
    0
    Hallo,

    mich erreichte heute morgen eine Mail von All-Inkl, dass meine Webseite mit einem Virus infiziert sei. Immer wenn ich auf meine Webseite gegangen bin wurde ein Download mit einer leeren Datei gestartet. Im Protokoll von All-Inkl war folgendes zu lesen

    "20:35:54 Virus "php_obfus_412.UNOFFICIAL" found in file "/www/htdocs/wKUNDENNUMMER/crm.DOMAIN.com/modules/Users/views/edit.Standard.php" (chown: wKUNDENNUMMER:wKUNDENNUMMER | ctime: 2017-11-17 17:43:33 | mtime: 2017-01-06 14:34:12 | chmod: 644) -> File was renamed to "/www/htdocs/wKUNDENNUMMER/crm.DOMAIN.com/modules/Users/views/VIRUS_php_obfus_412.UNOFFICIAL_edit.Standard.php" and locked (chmod: 0)"

    In allen Webseiten aus dem Vertrag tauchte im Kundenportal diese und ähnliche Meldung auf. Einige Seiten und Anwendungen laufen noch wie vorher nur alle WordPress-Seiten gehen gar nicht mehr. Auch wenn ich die Datenbank und co. neu mit der Domain verknüpfe kommt nur ein Error. Ich habe leider auch kein Backup der Seiten. Strato macht sowas immer automatisch für mich, aber bei All-Inkl habe ich eben auf die schnelle sowas nicht gefunden.

    Was kann ich tun um die Seiten wiederherzustellen?

    Vielen Dank schon im Voraus für alle Antworten ;)
     
  2. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    All-inkl macht auch automatisierte Backups. Also sauberes Backup einspielen und unbedingt die Sicherheitslücke finden.
     
  3. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.860
    Zustimmungen:
    174
    Wenn ich sowas wie Unofficial lese, dann kann das auch false positive sein.
     
  4. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.858
    Zustimmungen:
    435
    Das ist aber kein WordPress Pfad
     
  5. WebbR

    WebbR Well-Known Member

    Registriert seit:
    31. Oktober 2012
    Beiträge:
    88
    Zustimmungen:
    2
    Also das sieht nicht nach nem WP-Problem aus, da hat mensmaximus recht.
    Erst mal nachsehen was das für ne Datei ist. Ggf. reicht es aus die zu löschen... Ist vielleicht ne Anwendung die Du mal irgendwann installiert hast?

    Ansonsten feststellen von wann das Problem ist und Backup einspielen wenn das zeitlich davor erstellt wurde / verfügbar ist.
     
  6. maxsei

    maxsei Member

    Registriert seit:
    23. April 2014
    Beiträge:
    13
    Zustimmungen:
    0
    Hier die Meldung aus dem Log für WordPress.

    "20:35:54 Virus "php_code.as160701.UNOFFICIAL" found in file "/www/htdocs/wVERTRAGSNR/DOMAINs.de/wp-includes/images/smilies/imhnvcxx.php" (chown: wVERTRAGSNR:wVERTRAGSNR | ctime: 2017-11-17 17:43:42 | mtime: 2016-11-05 15:41:03 | chmod: 644) -> File was renamed to "/www/htdocs/wVERTRAGSNR/DOMAIN.de/wp-includes/images/smilies/VIRUS_php_code.as160701.UNOFFICIAL_imhnvcxx.php" and locked (chmod: 0)20:35:54 Virus "php_obfus_600.UNOFFICIAL" found in file "/www/htdocs/wVERTRAGSNR/DOMAIN.de/usage/index.php" (chown: wVERTRAGSNR:wVERTRAGSNR | ctime: 2017-11-17 18:25:33 | mtime: 2017-09-06 14:07:13 | chmod: 755) -> File was renamed to "/www/htdocs/wVERTRAGSNR/DOMAIN.de/usage/VIRUS_php_obfus_600.UNOFFICIAL_index.php" and locked (chmod: 0)"
     
  7. maxsei

    maxsei Member

    Registriert seit:
    23. April 2014
    Beiträge:
    13
    Zustimmungen:
    0
    Wie meinst du das? Habe an den betroffenen Seiten schon mind. 1 Monat keine Änderungen vorgenommen. Kann mir nicht erklären wie da jetzt so plötzlich was raufgekommen ist.
     
  8. maxsei

    maxsei Member

    Registriert seit:
    23. April 2014
    Beiträge:
    13
    Zustimmungen:
    0
    Echt? Das wäre meine Rettung. Aber wo genau finde ich das? Habe jetzt in der Members Area nichts dazu gesehen.
     
  9. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Du musst den Support anschreiben
     
  10. Edi

    Edi Well-Known Member

    Registriert seit:
    26. Juli 2006
    Beiträge:
    3.728
    Zustimmungen:
    1
    Eben, beispielsweise deshalb, weil Du Deine Installation nicht aktualisiert hast.
     
  11. maxsei

    maxsei Member

    Registriert seit:
    23. April 2014
    Beiträge:
    13
    Zustimmungen:
    0
    All-Inkl hat mir geschrieben, dass sie den Webspace erst zurücksetzen werden, wenn die Sicherheitlücke geschlossen wurde. Ich soll mich dazu an den Webmaster (in dem Fall wohl ich selbst) wenden und eine genaue Analyse betreiben.

    Wie soll ich das denn machen wenn die betreffenden Daten gesperrt wurden???
     
  12. Edi

    Edi Well-Known Member

    Registriert seit:
    26. Juli 2006
    Beiträge:
    3.728
    Zustimmungen:
    1
    Alles mit FTP, zudem die Datenbanken, auf einen Quarantäne-Rechner herunterladen und untersuchen (also nicht den Rechner, den Du täglich verwendest!). Oder einen Dienstleister damit beauftragen.
     
  13. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.860
    Zustimmungen:
    174
    Wow :) All-inkl. wird so hochgelobt und da darf der Kunde nicht mal selber entscheiden wann er sein Backup haben darf. Starkes Stück!
     
  14. Edi

    Edi Well-Known Member

    Registriert seit:
    26. Juli 2006
    Beiträge:
    3.728
    Zustimmungen:
    1
    Und bei JABA-Hosting laufen gehackte und infizierte Websites noch und noch?! :twisted:
     
  15. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.860
    Zustimmungen:
    174
    @Edi schau mal wie das bei uns abläuft -- klick --
     
  16. Edi

    Edi Well-Known Member

    Registriert seit:
    26. Juli 2006
    Beiträge:
    3.728
    Zustimmungen:
    1
    Ich habe mit den Websites meiner Kunden bei all-inkl.com keine Probleme. Und wenn einmal eine Frage auftaucht, ist der Support kompetent und freundlich.

    Auch dieses Problem wird sich lösen lassen. Und wenn der TE es möchte, unterstütze ich Ihn gerne bei der Kommunikation mit all-inkl.com.

    Mit dem Bashing von Mitbwerbern ist ihm so oder so nicht geholfen.
     
  17. TmoWizard

    TmoWizard Well-Known Member

    Registriert seit:
    28. April 2010
    Beiträge:
    168
    Zustimmungen:
    0
    Nanu, daß ist ja eine Meldung von ClamAV mit den zusätzlichen inoffiziellen Signaturen! Da ich hier mit meinem Linux natürlich den ClamAV verwende würde ich mal behaupten, daß das eine krasse Fehlermeldung ist --> False flag!

    Prüfe deine Website doch bitte mal bei VirusTotal, dann wirst Du es genauer wissen.
     
  18. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    10.409
    Zustimmungen:
    1.451
    Eine Datei /wp-includes/images/smilies/imhnvcxx.php gibt es in WordPress nicht, diese dort hinterlassene PHP-Datei ist mit Sicherheit als schädlich einzustufen und ein klares Anzeigen für eine auch weitergehend gehackte Installation. Um das festzustellen, braucht man keinen Scanner...

    Das als "false positive" o.ä. zu bezeichnen, kommt daher nicht in Betracht.

    Ob der eigentliche Hack über ein z.B. altes WordPress, ein Theme oder ein Plugin kam, oder aber über ein ganz anderes PHP-Script oder über ein geklautes/zu einfaches FTP-Kennwort o.ä., kann man anhand dieses Logs nicht feststellen.

    Die Herkunft/Ursache des Hacks ist wohl das, was all-inkl gern geklärt hätte. Denn mit einem älteren einfach nur neu eingespielten Backup wird sich der Hack garantiert wiederholen...
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden