Support » Allgemeine Fragen » Fehler bei Datenbankverbindung – wurde die Website gehackt?

  • Gelöst regtangle69

    (@regtangle69)


    Hallo, ich hatte im Frühjahr für unseren Heimatverein mit WP eine Website erstellt und an das Vereinsmitglied übergeben, das sich um die weitere Befüllung mit Inhalt und auch um die Administration seitdem kümmert. Anfang Januar erhielt ich von ihm eine E-Mail, ob ich wüsste was passiert sein könnte, er kann sich nicht mehr einloggen. Es erscheint: „Fehler beim Aufbau einer Datenbankverbindung“.

    Wir sind alle nur Laien und deswegen habe ich versucht, mich hier im Forum zu informieren. So bin ich darauf gekommen, dass ich die Daten in der config.php überprüfen sollte. Da ist mir zuerst aufgefallen, dass Datenbankname und Benutzer durch allgemeine Begriffe ersetzt waren. Daraufhin habe ich mir aus einem Backup von Anfang Dezember die config.php angeschaut und als ersten Unterschied gesehen, dass diese englisch geschrieben ist und die nun in WP vorhandene deutsch war. Dann habe ich beide Dateien heruntergeladen und direkt verglichen und gesehen dass eigentlich alle individuellen Eingaben in der Datei anders sind – also eine ganz andere config.php vorhanden war.

    Dann habe ich über die Backup-Funktion des Providers die config.php vom 24.12.23 wiederherstellen lassen, da ich im Backup vom 30.12.23 gesehen habe, dass die config.php am 27.12.23 geändert wurde. Daraufhin hat der Login zu unserer Website wieder funktioniert.

    Ich habe dem Administrator bescheid gesagt und ihn gefragt, wann er das letzte mal an der Website gearbeitet hat. Er wusste es nicht so genau, denkt aber, dass er um Weihnachten herum auf jeden Fall ein Update von WP veranlasst hat. Ich habe ihn auch gebeten noch weitere Sicherheitsmaßnahmen, wie Ihr in zahlreichen Foren-Beiträgen empfehlt, umzusetzen. Was davon bis jetzt geschehen ist, weiß ich aktuell nicht. Die Website ist aber noch nicht zugänglich – sondern im Wartungsmodus.

    Meine Frage ist jetzt, ob dass alles schon ein sicheres Zeichen für einen Hack ist oder ob, so etwas bei einem Update passieren kann? Alle Plugins sind auf „automatisch aktualisieren“ gestellt. WP und das Theme eigentlich auch – aber WP hatte sich offensichtlich im Dezember nicht automatisch aktualisiert.
    Ich schreibe euch auch deshalb, weil mich das Ganze doch sehr beunruhigt und ich mich nach ausgiebigem Lesen in diesem Forum frage, ob ich mich von meinem Computer überhaupt noch auf der Website einloggen kann, ohne meinen Computer zu gefährden? Denn ich würde den Administrator natürlich gern bei den vielleicht notwendigen umfangreichen Maßnahmen unterstützen.

    Viele Grüße

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)
  • Hallo regtangle69,
    das ein WordPress Update die wp-config.php versehendlich ändert ist sehr unwahrscheinlich.
    Da sie aber geändert ist und niemand der Benutzer es wissentlich veranlasst hat (?) hat jemand anderes die Datei geändert – so ein unerwünschter Zugriff sieht nach „gehackt“ aus.
    Meist hat ein erratbares Admin Passwort den Login als Admin ermöglicht (Bitte beim nächsten mal cryptische Passworte setzen).

    Gefahren die Besuchern einer Seite drohen sind Übertragung von Schadsoftware in Medien Dateien wie Bildern die über den Browser das Betriebssystem infiltrieren. Da geben schützen Virenscanner, zudem ist so ein Angriff nicht trivial aufzubauen. Das der Veränderer Deutsch gewählt hat scheint es eher unwahrscheinlich. Daneben können Seiten deinen Browser überlasten mti CSS oder Javascript das mit der Seite ausgeliefert wird. Hier schütz z.B. Firefox mit Noscript,
    Am sichersten gehts du wenn du die komplette Webseite mit einem Virenscanner checkts. Evt musst du sie dazu erst herunterladen. Mit angeschaltetem Virenscanner ist das relativ sicher. So weist du ob die Medien weiter benutzt werden können ohne zu gefährden.

    Am besten wäre wenn du den Admin informierst das du das Backuo einspielst und dich direkt! danach im WP Admin anmeldest und Updates für alle Thems/Plugins/WP machst. Dann sollten alle Passworte der Seite geänderte werden.Ist in WP die FTP Verbindung angegeben diese unbedingt auch ändern. Dazu musst du dich zusätzlich im Webhosting Admin anmelden.

    Die XMLRPC Schnittstelle wird meist nicht gebraucht vereinfacht aber evt. Angrffe. Mit folgendem Text indie .htaccess eingefügt unterbindest du das.

    <Files "xmlrpc.php">
    Deny from all
    </Files>

    ob dass alles schon ein sicheres Zeichen für einen Hack ist

    Meiner Meinung nach: Nein, das alleine ist kein sicheres Zeichen für einen Hack.

    Andererseits glaube ich auch nicht, dass ein reguläres Update von WP die wp-config.php austauscht. Die Datei heißt doch so oder?
    Das ist wichtig, denn wenn du echt eine „
    config.php“ hast – die kenne ich nicht, die gehört nicht ins WP, zumindest nicht ins Hauptverzeichnis. (Plugins können so eine für sich haben)

    Fürs Erste würde ich mal checken, ob unerwünschte Benutzer drin sind (v.a. welche mit Adminrechten) und nach Auffälligkeiten schauen.
    Die Meldung bez. Datenbankverbindung ist eh klar, wenn eine falsche „wp-config.php“ das Sagen hat …

    @gnusolutions du meinst also, der wäre gehackt worden? Na, ich hoffe nicht, vllt. hat doch jemand was irrtümlich versemmelt.

    Ansonsten bringt das alles nix, außer mit einem Online Scanner checken (und nicht herunterladen).

    Was es bringt, ist rigoroses Vorgehen, wie etwa hier immer wieder gezeigt.

    PS: virustotal zeigt keine Warnung …

    • Diese Antwort wurde geändert vor 2 Monaten, 3 Wochen von kurapika.
    Thread-Starter regtangle69

    (@regtangle69)

    Vielen Dank erstmal für die vielen Auskünfte. Ich habe im Moment noch nicht alles so richtig verstanden. Aber meine Gedanken dazu sind:

    ja, die geänderte Datei heißt wp-config.php; das Admin-Passwort ist auf jeden Fall von einem PW-Generator – das heißt hoffentlich, dass es cryptisch ist; ich hatte mir nachdem der Login wieder funktioniert hat, ein Backup heruntergeladen und mit ClamXAV gescannt und nichts gefunden. Aber bei dem Backup werden ja wahrscheinlich nicht alle Dateien gespeichert. Meinen Computer hatte ich seitdem auch schon so gescannt.

    Woran erkenne ich denn, ob in WP die FTP-Verbindung angegeben ist?

    Und welche .htaccess soll ich denn ändern, ich glaube, ich hatte mehrere (in unterschiedlichen Ordnern) gesehen.

    Ich kann mich also erstmal gefahrlos einloggen? aber besser nichts herunterladen.

    Sorry, hab das Thema irgendwo übersehen oder so

    Datei heißt wp-config.php; das Admin-Passwort ist auf jeden Fall von einem PW-Generator – das heißt hoffentlich, dass es cryptisch ist;

    Ok, das ist die richtige, wenn die auch noch im Hauptverzeichnis liegt.
    Ein PW Generator kann auch recht einfache Passwörter erzeugen, meist aber lange und kaum zu erratende, kryptische Zeichenfolgen, evtl. mit Sonderzeichen.
    Aber darum gehts ja nicht, sondern wer hat die Datei ausgetauscht?

    Aber bei dem Backup werden ja wahrscheinlich nicht alle Dateien gespeichert.

    Kommt darauf an, wie das Backup erstellt wurde? Backup-Plugins können meist vielfach eingestellt werden, v.a. bez. der Auswahl was zu sichern ist, was nicht. Ein Kriterium dabei ist etwa, ob man nur die wichtigsten Dateien (Bilder, Themes, Plugins) sichern will oder die ganze WP Installation oder ob auch die Datenbank (ganz oder teilweise) dabei sein soll oder nicht.
    Wenn man manuell, per FTP und Export per PhpMyAdmin sichert, weiß man ja, was alles dabei ist.
    Also kann ich dir das nicht beantworten …

    Meinen Computer hatte ich seitdem auch schon so gescannt.

    Das schadet eh nie

    Ich kann mich also erstmal gefahrlos einloggen?

    Denke schon. Und sicherlich warst schon oft drin, seit dem das aufgefallen ist.

    ? Was ist denn mit meiner Frage wegen eventuellen unerwünschten Benutzern?

    aber besser nichts herunterladen.

    Hast ja schon …
    Meine diesbezügliche Notiz war, weil ich den Tipp eines Foristen „komplette Webseite mit einem Virenscanner checkts. Evt musst du sie dazu erst herunterladen.“ als unnötig umständlich und risikoreicher empfand, als einfach mit einem Online-Scanner zu scannen. (was ich auch gemacht habe)

    Thread-Starter regtangle69

    (@regtangle69)

    Vielen Dank für deine Antworten. Ich habe mich also wieder eingeloggt und deine Ratschläge befolgt. Es gab bisher auch keine weiteren Auffälligkeiten, auch ist kein Benutzer dazugekommen.

    Ich werde jetzt erstmal abwarten und beobachten.

    Vielen Dank für eure Hilfe 🙂

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)