Support » Allgemeine Fragen » Gehackt? WordPress stellt auf Thailändische Demoseite um

  • Guten Morgen,

    ich habe das Problem zum wiederholten Mal:
    Plötzlich ohne Zutun, wird eine meiner statischen Restaurant-Seiten auf eine thailändische Demoseite umgestellt.

    Sieht dann im Ergebnis so aus:
    https://abload.de/img/thai5njtk.jpg

    Ich verwende die neuste WordPressversion 5.5.3–de_DE.
    Ich habe nicht viele Plugins installiert, diese scheinen auf dem neusten Stand zu sein, siehe hier:
    https://abload.de/img/2020-11-0112_24_34-pleekh5.png

    Das ganze ist bei 1&1 gehostet.
    Mein 1&1 Kundenkonto, mein FTP-User (Nutzung von SFTP), mein WordPress Account (es gibt nur einen einzelnen User), meine MySQL Datenbank, sind jeweils mit einem 24-stelligen komplett randomisierten Passwort mit allen Zeichenklassen geschützt.

    Was ich nicht verstehe: Wenn ich gehackt werden, wieso dann eine thailändische Demopage anzeigen und nicht eine x-beliebige Werbeseite? Wäre ja lukrativer für den Hacker, die Seite umzuleiten oder Werbung zu zeigen. Komisch!

    Kennt jmd das Phänomen?
    Was könnte man noch tun?
    Gibt es ein Plugin, was alle PHP Zugriffsrechte auf dem Webspace checkt, um eventuell aufzudecken, ob ich zu viele Schreibrechte mittels CHMOD 777 vergeben habe?

    Danke vorab für JEDEN TIPP!
    DANKE!

    • Dieses Thema wurde geändert vor 3 Jahren, 7 Monaten von sx1001.
Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)
  • Hallo,
    warum da immer eine thailändische Demoseite kommt, kann ich nicht beurteilen.
    Schau aber mal bitte in den folgenden Beitrag aus der FAQ zu dem Thema.
    Außerdem hier noch zusätzlich detaillierte Anleitungen:
    https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/
    https://pixolin.de/gehackte-website-reparieren/
    Viele Grüße
    Hans-Gerd

    Du hast Rechte mit 777 vergeben? D.h. jede Pappnase darf alles! Da darfst du dich nicht wundern, wenn deine Seite erfolgreich angegriffen wurde.

    Spiele ein Backup ein, downloade alles per FTP, lösche alles und kopiere alles wieder per FTP auf den Server. Damit sollten schon mal die Rechte verschärft sein.

    Überprüfe danach mit mit dem Plugin „Health Check & Troubleshooting“, ob für WordPress die rechte richtig stehen.

    Weiterhin solltest du mal in die Log-Files rein sehen, falls du da dran kommst. Vielleicht erkennst du eine verdächtige IP-Adresse (siehe dazu https://www.iplocation.net/ ), die ich dann sperren würde.

    Thread-Starter sx1001

    (@sx1001)

    @bscu:
    Bin gerade nicht sicher, glaube zumindest im Upload Verzeichnis.
    Aber was genau meinst Du mit „D.h. jede Pappnase darf alles!“. Jmd. von außen kann ohne Zugriff direkt auf den FTP doch erstmal gar nichts? Ich kann ja nicht einfach über die Website, auf dem FTP Server rumspielen!?

    Danke für die Tipps, werde das mal durchgehen.
    Danke

    Jmd. von außen kann ohne Zugriff direkt auf den FTP doch erstmal gar nichts?

    Du hast vermutlich einen Vertrag für Shared Hosting angeschlossen. Das bedeutet, dass auch andere Nutzer auf dem gleichen Server arbeiten, die dann über die Dateirechte 777 Dateien lesen, ändern und auch anlegen können. Das können auch .php-Dateien sein, die einem neuen Benutzer Admin-Rechte für die WordPress-Installation gewähren.

    Hast du das Theme offiziell erworben? „Genullte“ Themes (also Themes, bei denen der Lizenzschlüssel „mit Nullen überschrieben“ bzw. die Abfrage gelöscht wurde) sind oft mit Backdoors für Angreifer versehen.

    @sx1001

    https://de.wordpress.org/support/topic/seite-gehacked-was-tun/

    Dort findest du eine kleine Anleitung darüber, wie du die Website offline stellen kannst, ohne dass noch jemand anderes Zugriff darauf hat. Das sollte per .htaccess erfolgen.

    Das Hochladen einer index.html reicht nicht aus, denn die verhindert lediglich den Zugriff auf die Startseite. Alle anderen Seiten sind über Direktlinks immer noch zugänglich. Über Google werden Web-Unterseiten beispielsweise direkt verlinkt.

    In dem Post findest du auch einen Link zu der englischsprachigen Anleitung von wordpress.org, inklusive einiger Links, mit deren Hilfe du grob prüfen kannst, ob deine Website tatsächlich befallen ist.

    Das Hochladen einer index.html reicht nicht aus, denn die verhindert lediglich den Zugriff auf die Startseite.

    Der Hinweis kommt etwas unvermittelt, weil von Hochladen einer index.html bisher hier keine Rede war. Auf was beziehst du dich?

    Als Ergänzung auf die von @hage geposteten Links. Es ist dort etwas missverständlich formuliert, was möglicherweise verkehrte, ungewollte Rückschlüsse zur Folge haben könnte: „Vorhandene Website offline nehmen (index.html mit Wartungshinweis erstellen und ins Web-Stammverzeichnis hochladen)“

    Denn die Website ist dadurch nicht offline.

    Auch unter dem anderen Link:
    (wenn es schnell gehen soll, reicht auch zunächst, die index.php umzubenennen und eine Datei index.html mit einem kurzen Hinweis auf Wartungsarbeiten hochzuladen. Der Angreifer hat dann aber immer noch Zugriff über seine installierte Malware – es besteht also weiterer Handlungsbedarf!)

    Nicht nur der Angreifer hat dann Zugriff, Besucher könnten ihren Rechner durch Aufruf von gehackten (Unter-)Webseiten infizieren.

    Es ist dort etwas missverständlich formuliert, was möglicherweise verkehrte, ungewollte Rückschlüsse zur Folge haben könnte

    Durch Umbenennen der index.php sind nach meinem Wissen auch Unterseiten nicht mehr erreichbar. Bei Aufruf von z.B. https://example.com/impressum oder auch https://wp.dev/category/allgemein/ kommt dann der Hinweis „No input file specified.“ Vielleicht magst du das nochmal testen?

    Das Hinzufügen einer index.html alleine genügt tatsächlich nicht, um Unterseiten nicht mehr zugänglich zu machen. Das habe ich vor drei Jahren wohl etwas unpräzise formuliert. Aber auch ich lerne immer gerne dazu und freue mich über freundliche Hinweise und konstruktive Kritik, auch wenn sie eher indirekt geäußert wird. 😉

    auch wenn sie eher indirekt geäußert wird. 😉

    Das war ganz bewusst, es lag mir fern, irgendeine öffentliche Kritik zu äußern.

    Vielleicht magst du das nochmal testen?

    Jap. Habe jetzt – im Gegensatz zu meinem vorherigen Versuch – alle Caches (Plugin/Browser) gelöscht, die index.php umbenannt, eine index.html hochgeladen und siehe da, ich erhalte dann einen 404-Fehler.

    Wie man daran bestens sehen kann: Niemand ist unfehlbar und auch ich habe soeben wieder etwas dazu gelernt.

    Nachtrag:
    Ich fand das sehr spannend und hab noch mal weiter getestet.

    Gänzlich abgesichert ist die Website dadurch aber nicht. Ich kann ../wp-login.php nach wie vor aufrufen und habe (nach dem Einloggen) kompletten Zugriff auf das Backend.

    Oder hab ich etwas übersehen?

    Ich sehe im Umbenennen der index.php nur eine rasche, zusätzliche Vorsichtsmaßnahme, bevor die Website ohnehin weitgehend neu aufgesetzt wird. Spätestens wenn die WordPress-Core-Dateien wie beschrieben komplett gelöscht werden, dürften WebseitenbesucherInnen auch nicht mehr auf die wp-login.php kommen.

    Die Arbeitsschritte zur Reparatur einer gehackten Website führe ich immer zügig durch, weil die Website schnell wieder online gehen soll und ich Angreifern nicht noch Zeit lassen möchte, einen Webserver für irgendwelche Machenchaften zu nutzen.

    Eine zusätzliche Absicherung mit einem .htpasswd ist mir zu umständlich und ich würde andere Prioritäten setzen, da ein solcher Passwortschutz auch keine Angreifer abhält, die sich z.B. per FTP/SSH Zugriff auf den Webserver verschaffen konnten.

    da ein solcher Passwortschutz auch keine Angreifer abhält, die sich z.B. per FTP/SSH Zugriff auf den Webserver verschaffen konnten.

    Deswegen wird ja auch immer empfohlen, alle Passwörter zu ändern. Denn auch das Aufsetzen einer neuen Website nützt wenig, wenn der Hacker FTP-/SSH-Zugriff hat 😉

    Eine zusätzliche Absicherung mit einem .htpasswd ist mir zu umständlich

    Viele Provider bieten die Einrichtung auch über den Kundanaccount über eine simple Benutzeroberfläche an. Für mich ist das Anlegen von .htaccess und .htpasswd ein Klacks mithilfe eines gescheiten Online-Generators.

    Aber wenn man so vorgeht, wie es jetzt in deiner Beschreibung steht: index.html hochladen, index.php löschen, dann alle Passwörter ändern usw. und die restlichen Punkte zügig abarbeitet, geht es natürlich auch.

    Ich arbeite gerne hinter einem .htaccess-Zugangsschutz, da ich dort die gesamte Zeit bis zum Onlinestellen einer Website in Ruhe und ohne jegliche Besucher arbeiten kann.

    Für mich ist das Anlegen von .htaccess und .htpasswd ein Klacks mithilfe eines gescheiten Online-Generators.

    Du bist ja auch (im Gegensatz zu manchen Teilnehmenden hier) eine erfahrene Anwenderin und brauchst eigentlich keine Anleitung. 🙂

Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)
  • Das Thema „Gehackt? WordPress stellt auf Thailändische Demoseite um“ ist für neue Antworten geschlossen.