• Hey Leute,
    ich weiß nicht mehr weiter und möchte mir hier nun Hilfe suchen. Ich habe das Plugin Wordfence installiert und unter Scan kann man seit den letzten 48h weiß was ich alles sehen, natürlich alles über Proxy und zich anfragen auf die wp-login die mit WPSHIdeLOgin aber nicht erreichbar ist (reicht das in der richtung schon?!)

    Dann habe ich heute unter den hunderten Anfragen etwas anderes gesehen wo ein Pythonscript wohl in mache ist von einer Cloud aus, und komische Linkkombinationen die mit FCKEditor zum Schluß beendet wurden. Ich weiß nun nicht ob das alles erfolgreich war, oder misslungen oder weiß was ich. Ich habe nutzer bei mir auf der Seite die auch Sachen herunterladen können, dem habe ich jetzt vorsichtshalber erstmal einen Riegel dazwischen geschoben das nichts verteilt werden kann.

    Habe Screenshots alles erstellt.

    Wenn jemand die Zeit, Ruhe und Hilfsbereitschaft aufweisen kann, wäre ich dem sehr Dankbar – Da ich offensichtlich aktuell dafür gehasst werden.

Ansicht von 10 Antworten – 1 bis 10 (von insgesamt 10)
  • Und was willst Du jetzt genau wissen? Und wo sind deine Screenshots<ß

    Thread-Starter kuroview

    (@kuroview)

    Jo, das habe ich vergessen hier:

    https://gyazo.com/e0f4424534ef2894f218f997e95ee3a0

    • Diese Antwort wurde geändert vor 6 Jahren, 4 Monaten von kuroview.
    Thread-Starter kuroview

    (@kuroview)

    Kann jemand diesen Thread hier bitte komplett löschen, kann ihn im Nachhinein nicht mehr bearbeiten und scheint sich eh niemand für zu interessieren. Meine Seite hats mittl. zerrissen und war nicht mehr abrufbar. Danke für die Hilfe.

    Ich weiß immer noch nicht, was Du jetzt genau zu diesen Attacken wissen willst?

    Diese Anfragen sind ein Schuss ins Blaue und zielen auf Joomla!-Komponenten. Ein Skript das alle möglichen IP-Adressen nach Schwachstellen in Komponenten/Erweiterungen des CMS Joomla! abklopft.

    Mach dir über diese Links also keine Sorgen.

    Thread-Starter kuroview

    (@kuroview)

    Danke Angelika. Genau das wollte ich wissen ob diese Liksachen gefährlich sind. Weil manche davon auch so schon geblockt wurden. Meine Seite war eine Zeit auch down, weil einfach zu viele Anfragen gekommen sind – mein Provider hat mir diesbezüglich aber auch schon nun weitergeholfen. UNd die im Screen zu sehenden Linksachen sind halt herausgestochen und wusste damit nichts anzufangen und wenn man es googelt bekommt man allerlei anleitungen zum hacken von i-was. Ich habe was das betrifft halt keine Ahnung und stütz mich da an Guides was die Absicherrung der Seite betrifft und hoffe das es halt hilft.

    @kuroview, gerne.
    Die Links sind natürlich schon gefährlich, bzw, die Skripts, die nachgeladen werden. Aber nur für eine Joomla!-Website, mit nicht aktualisierten Komponenten, die Sicherheitslücken aufweisen.

    Andere Anfragen/Links (nicht auf deinem Screenshot zu sehen) zielen wiederum auf Sicherheitslücken in WordPress-Plug-ins, Themes oder WordPress selbst. Daher: immer sofort (Sicherheits-)Updates installieren; aber zuvor ein Backup der Website machen.

    Du kannst für einen erweiterten Schutz mal das Plug-in installieren:
    https://wordpress.org/plugins/block-bad-queries/

    Thread-Starter kuroview

    (@kuroview)

    Abermals danke für Deine Anwort Angelika. Das Plugin ist installiert.

    Ich konnte jetzt auch keine weiteren Zugriffe/Attacken, wie auch immer verzeichnen. Scheint wohl nun ruhig zu sein – Gott sei Dank.

    Nutze halt Wordfence, WPHideLogin und IPGeoBlock an Plugins. Ansonsten habe ich noch die Robots.txt nun bearbeitet und die Datei xmlrpc.php gelöscht, da ich nicht mit dem Handy oder ähnliches zugreifen brauche.

    90% sind die Anfragen halt gezielt auf wp-login.php gewesen, und gehe nun letztendlich einfach mal davon aus, das solang Wordfence nach einem Dateienscan nichts meldete, das auch nichts verseucht oder durchgedrungen ist. Hinzukommend mein Passwort sowohl für FTP, Datenbank als auch Account selbst mehrere Stellen mit allem drum und ran hat. Auch Logins meinerseits konnte ich nicht Festellen, die nicht von mir sind.

    Mir war halt nur das eine verdammt wichtig weil ich weiß was Pyhton kann, und da klingelten alle Alarmglocken bei mir und ja, auch meine Nerven lagen kurzzeitig was Blank. Habe halt auch User bei mir Registriert und trage halt weitestgehend und demnach auch ein Stückweit die Verantwortung.

    Die Plugins/Themes sind auch nicht Nulled und aktuell gehalten. Ich wüsste halt sonst nicht, was ich noch alles machen kann, weil zu viel erscheint mir dann auch schwachsinnig. Nacher hebelt das eine das andere aus – War mein Gedanke.

    Ergo – Danke.

    und die Datei xmlrpc.php gelöscht

    Denkbar, dass sie beim nächsten Update wieder vorhanden ist, ich weiß es nicht. Hab die noch nie gelöscht 🙂

    Mach stattdessen besser folgendes: Füg diesen Code in die .htaccess-Datei ein

    # protect xmlrpc
    <Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
    </Files>

    und zusätzlich den folgenden Code in die functions.php deines (hoffentlich Child-)Themes

    add_filter('xmlrpc_enabled', '__return_false'); // disable xmlrpc

    Damit ist die xmlrpc.php-Datei mausetot und das auch nach Updates.

    Thread-Starter kuroview

    (@kuroview)

    Danke für die Antwort – ist erledigt. Zwar nicht in meinem Chield-Theme, aber ist drin 🙂

    xoxo

Ansicht von 10 Antworten – 1 bis 10 (von insgesamt 10)
  • Das Thema „Bruteforce, DDoS, Komische Linkabfragen“ ist für neue Antworten geschlossen.