gehackt – datenbank bereinigen Reparieren?
-
Hallo, ich habe schon wider eine seite die gehackt wordes ist, ich hate schon mal die frage gestellt für eine andere seite, und mir würden viele tipps gegeben, ich würde gerne wissen ob es eine möglichkeit gibt ohne die seite neu aufsetzen zu müssen ob man die datenbank bereinigt Repariert bekommt?
-
Dieses Thema wurde vor 1 Jahr, 7 Monaten von
Hans-Gerd Gerhards geändert. Grund: Link entfernt (Website vermutlich gehackt)
-
Dieses Thema wurde vor 1 Jahr, 7 Monaten von
-
Wie hast Du denn festgestellt, dass sie gehackt ist?
Grundsätzlich würde ich immer empfehlen das Projekt komplett zu löschen (Datenbank und Dateien) und aus einem sauberen Backup wiederherzustellen. Liegt dir selbst kein Backup vor, frag den Support deines Hosters dazu an.
Solltest Du keinerlei Backup vorliegen haben, kannst Du versuchen die Daten zu bereinigen. Dabei musst Du nicht nur die Datenbank prüfen sondern auch die Dateien. Es gibt viele Heransgesehensweisen dazu, auch abhängig davon wie man denn den Hack festgestellt hat.
Eine Möglichkeit wäre zunächst alle Core-Dateien zu löschen (also wp-admin, wp-content und alle Dateien im Hauptverzeichnis). Auch löschen würde ich wp-content/plugins, denn die kannst Du allesamt nochmal neu runterladen. Dann schaust Du dir in wp-content jede einzelne Datei und jedes Verzeichnis an, ob dieses irgendeinen Schadcode enthält. Ein Anhaltspunkt zur Prüfung kann das letzte Änderungsdatum sein, muss aber nicht da man auch das manipulieren kann. Danach erst solltest du dir die Datenbank selbst anschauen. Prüfe in der users-Tabelle ob dort irgendwelche Nutzer sind die du nicht kennst. Prüfe die posts, postmeta und usermeta, ob dort Einträge sind die merkwürdig sind. Achtung: nicht einfach löschen, denn damit kann man Verbindungen zerstören – wenn du etwas vermeintlich merkwürdiges gefunden hast, folge den IDs, prüfe in welchem Zusammenhand sie stehen. Schau dir auch alle nicht zum WordPress-Core gehörenden Tabellen an. Sind diese von irgendeinem von dir genutzten Plugin oder „falsch“. Insgesamt wirst Du hierfür vermutlich mehrere Tage benötigen, je nchdem wie groß Das Projekt ist. Und selbst wenn du vermeintlich alles gefunden hast, kann immernoch irgendwo ein Schlupfloch sein, was du nicht gesehen hast. Um das Projekt wieder zum Laufen zu bekommen, installiere manuell den WordPress-Core und auch die von dir genutzten Plugins aus sicheren Quellen (wie dem WordPress-Repository).
Ich würde dir auch diesen Artikel ans Herz legen: https://wordpress.org/documentation/article/hardening-wordpress/
Hallo vielen dank für die ausführliche atwort,
Ich bin durch Zufall drauf gestoßen,das ist eine Vereinsseite, da mache ich nichts dran, da wird selten etwas verändert, ich schau halt das ich die Updates mache ab und zu.
Ich wollte mit den avada live editor etwas machen und der funktionierte nicht da raufhin habe ich den suport des themes kontaktiert und der hat mich da raufaufmerksam gemacht sonnst war mit der seite alles ok
Ich habe mit wordfence / GOTMLS so viele Sachen entfernt wie ich konnte, also wordfence und GOTMLS meckert nicht mehr, leider läuft der avada Live Editor immer noch nicht, das themes habe ich komplett neu installiert, und viele der Plugins. Und natürlich auch WordPress komplett neu installiert.
Ich suche weiter nach manipulierten dateien ist halt alles Die Nadel im Heuhaufen suchen!
Hallo,
schau auch mal bitte in den folgenden Beitrag aus unserer FAQ: https://de.wordpress.org/support/topic/seite-gehacked-was-tun/.Den Link habe ich sicherheitshalber entfernt.
Viele Grüße
Hans-GerdWenn ein Support so etwas meldet ohne Details zu nennen wäre ich vorsichtig. Der Avada Support ist meist gut, aber es gibt auch mal Ausnahmen. Wie äußert sich denn der Fehler bei Avada? Gibt es Einträge in der JavaScript-Konsole die auf irgendetwas dahingehend hindeuten?
Die haben schon etwas darüber geschrieben:
Thanks for the details.I went through the errors logs and it seems there might be an issue with the database on your WordPress installation. The logs have many errors of this type:
[Fri Oct 11 03:00:56.372352 2024] [proxy_fcgi:error] [pid 2707864:tid 140047971854080] [client 66.249.70.171:27328] AH01071: Got error ‚PHP message: WordPress database error Table ‚usr_web496_5.’4k8Z6_posts“ doesn’t exist for query SELECT post_modified_gmt FROM'4k8Z6_posts'WHERE post_type = ‚post‘ AND post_status = ‚publish‘ ORDER BY 4k8Z6_posts.post_modified_gmt DESC LIMIT 1 made by require(‚wp-blog-header.php‘), require_once(‚wp-includes/template-loader.php‘), do_action(‚do_robots‘), WP_Hook->do_action, WP_Hook->apply_filters, do_robots, apply_filters(‚robots_txt‘), WP_Hook->apply_filters, DPC_Module_Basic_Sitemaps->filterRobots, DPC_Module_Basic_Sitemaps->getSitemapIndex; PHP message: WordPress database error Table ‚usr_web496_5.’4k8Z6_posts“ doesn’t exist for query SELECT post_modified_gmt FROM'4k8Z6_posts'WHERE post_type = ‚page‘ AND post_status = ‚publish‘ ORDER BY 4k8Z6_posts.post_modified_gmt DESC LIMIT 1 made by require(‚wp-blog-header.php‘), require_once(‚wp-includes/template-loader.php‘), do_action(‚do_robots‘), WP_Hook->do_action, WP_Hook->apply_filters, do_robots, apply_filters(‚robots_txt‘), WP_Hook->apply_filters, DPC_Module_Basic_Sitemaps->filterRobots, DPC_Module_Basic_Sitemaps->getSitemapIndex; PHP message: WordPress database error Table ‚usr_web496_5.’4k8Z6_posts“ doesn’t exist for query SELECT post_modified_gmt FROM'4k8Z6_posts'WHERE post_type = ‚avada_portfolio‘ AND post_status = ‚publish‘ ORDER BY 4k8Z6_posts.post_modified_gmt DESC LIMIT 1 made by require(‚wp-blog-header.php‘), require_once(‚wp-includes/template-loader.php‘), do_action(‚do_robots‘), WP_Hook->do_action, WP_Hook->apply_filters, do_robots, apply_filters(‚robots_txt‘), WP_Hook->apply_filters, DPC_Module_Basic_Sitemaps->filterRobots, DPC_Module_Basic_Sitemaps->getSitemapIndex‘
The installation also has a few suspicious looking folders and files e.g. like shown below – which are not part of a standard WP install and might be a security risk:https://share.zight.com/GGue7r8E
There were likely some changes made to the installation that has affected the database/WP installation.
I’d recommend checking with your server admin / hosting company about this as the issues seem specific to your WP setup/installation.
Oh ja, wenn das deine Installation ist, dann ist sie definitiv gehackt. Ich würde weiterhin meinen oben beschrieben kurzen Weg empfehlen mit der Wiederherstellung eines Backups. Ansonsten bleibt dir, wenn du nicht neu beginnen willst, nur der mühsame Weg.
Ich mache Backups jeden Tag, aber das war ein Fehler bei der Seite, ich hätte einmal im Monat machen müssen, die Backups, die ich habe, sind leider auch beschädigt!
Und mein hoster hat welche von der Woche!
Ich mache die Seite ohne Gewinn für den Verein nebenbei, ich kann nicht so viel Zeit reinstecken, um sie neu aufzubauen!
Bin aber, um ehrlich zu sein, etwas überfordert ,mit dem prüfen, ob noch Schadcode vorhanden ist, und das mit dem Änderungsdatum, du meinst das Änderungsdatum der Dateien und Ordner?
Ich weis aber nicht wann der Hack angefangen worden ist?
Ja, das Änderungsdatum der Verzeichnisse und Dateien ist gemeint. Diese können auch ein Indiz sein wann der Hack gestartet ist. Ich weiß aber nicht, ob dir diese Erkenntnis noch etwas bringen würde zumal du keine so alten Backups hast.
Wenn Du Unterstützung dabei benötigst, gibt es auch Dienstleister die sich um sowas kümmern. Ja, kostet wieder etwas (und oft nicht gerade wenig). Aber es ist auch ein extrem komplexes Thema, wie Du gerade selbst schon merkst.
Ich lösche alle Plugin außer die, die für die Galerie zuständig sind, wie finde ich heraus welche Datenbankeinträge ich löschen kann, also von den ausgeschalteten Plugins?
Theoretisch indem Du dir alle Plugins im Quellcode anschaust und prüfst was die wo in der Datenbank machen. Es gibt hierfür zwar von WordPress vorgegebene Datenbanktabellen und Zellen, aber die Plugins sind nicht verpflichtet diese zu nutzen. Daher kann man so eine Analyse nur sehr schwer laufen lassen.
Eventuell hilfreich sind Plugins wie WP Optimize die für dich die Datenbank nach nicht mehr genutzten Datensätzen durchsuchen. Aber auch das hat seine Grenzen.
ok das mit dem Quellcode anschaun ist ja nicht so einfach, man muss wissen nach was man suchen muss!
Warum löscht WordPress nicht die Einträge von der Datenbank, wenn man das Plugin löscht, ist die Frage, so entsteht doch nur Datenmüll!
WP Optimize und alle möglichen Plug-ins die, die Datenbank bereinigt habe ich schon benutzt, leider habe ich immer noch Fehler!
Es obliegt den Plugin-Entwickler selbst bei der Deinstallation ihre eigenen Daten aufzuräumen. Aktuell gibt es dazu leider keine Verpflichtung, und selbst wenn es sie gäbe würde es immernoch tausende ältere Plugins geben die es nicht machen. Seitens WordPress gibt es keinen Mechanismus um aufzuräumen da, wie oben schon geschrieben, die Umsetzungen immer individuell vorgenommen werden können.
Um was für Fehler geht es dir denn aktuell? Evtl. ist der Versuch etwas zu bereinigen der falsche Ansatz um das zu lösen.
Das Thema „gehackt – datenbank bereinigen Reparieren?“ ist für neue Antworten geschlossen.