Gehackt? Seite zurückgesetzt & Login nicht mehr möglich

saib0t
(@saib0t)

vor 4 Jahren, 2 Monaten
Hallo,
ich brauche ganz dringend Hilfe. Ich befürchte dass meine Seite gehackt wurde.
Gestern war noch alles gut, jetzt ist meine Seite komplett zurückgesetzt. Es wird nur noch eine Hello WorldSeite angezeigt.
Außerdem kann ich mich nicht mehr einloggen. Angeblich eine invalide Email Adresse. Aber es ist genau die, die ich immer benutze und die ich auch jetzt genutzt habe, um mich hier im Forum anzumelden.

Auf der Hello World Seite ist ein Default-Kommentar von WordPress. Erstellt heute um 21:19Uhr. Also war das wahrscheinlich der Zeitpunkt zu der sie zurückgesetzt wurde. Auf andere Domains beim selben Hoster kann ich noch problemlos zugreifen.

Ich habe michauch per FTP aufgeschaltet. Alle WordPress Dateien im Ordner scheinen noch vorhanden zu sein.

Was ist da los?

Nachtrag: Wenn ich versuche das Passwort auf der Login Seite zurückzusetzen, bekomme ich auch die Meldung, dass die Email-Adresse nicht existiert. Das ist natürlich Schwachsinn…

Bin für jede schnelle Hilfe dankbar.
Viele Grüße
Tobias
- Dieses Thema wurde geändert vor 4 Jahren, 2 Monaten von saib0t.
- Dieses Thema wurde geändert vor 4 Jahren, 2 Monaten von saib0t.
Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 41)

1 2 3 →

Moderator Hans-Gerd Gerhards
(@hage)

vor 4 Jahren, 2 Monaten

Hallo,
wenn ich das kurz mit sucuri teste, scheint die Seite nicht gehackt zu sein.
Wenn du eine Sicherung hast, würde ich die Sicherung wiederherstellen.
Hier noch ein Link mit Infos dazu.
Das erst mal ganz kurz angesichts der fortgeschrittenen Zeit.
Viele Grüße
Hans-Gerd

Thread-Starter saib0t
(@saib0t)

vor 4 Jahren, 2 Monaten

Danke.
Wenn nicht gehackt, was kann das sonst einfach so auslösen?
Tatsächlich kann ich im FTP keine Datei entdecken, die in den letzten Tagen geändert wurde.

Viele Grüße
Tobias

Moderator Hans-Gerd Gerhards
(@hage)

vor 4 Jahren, 2 Monaten

Hallo,

Wenn nicht gehackt, was kann das sonst einfach so auslösen?

Wie das zustande gekommen ist, kann ich dir nicht sagen.
Noch mal zur Sicherheit: Ob die Webseite gehackt worden ist oder nicht, kann ich natürlich nicht sicher sagen. Das war nur ein erster Test.
Deswegen auch der Link.
Am besten Sicherung wiederherstellen, s. o. und zumindest Kennwörter ändern, etc.
Viele Grüße,
Hans-Gerd

Thread-Starter saib0t
(@saib0t)

vor 4 Jahren, 2 Monaten

Ich habe gerade ein Backup eingespielt (Über FTP Client alle Ordner und dateien auf den Server kopiert und überschrieben). Hat leider nichts gebracht.

Viele Grüße
Tobias
Moderator Hans-Gerd Gerhards
(@hage)

vor 4 Jahren, 2 Monaten
Hallo,
ich würde mal folgende Dinge prüfen:
- das kommt mir fast so vor, als ob möglicherweise eine Weiterleitung im Kundenpotal deines Hosters auf diese neue Seite eingerichtet worden ist (von wem auf immer). Hast du das mal überprüft?
- wenn du per FTP auf die Ordner zugreifen kannst, schau doch mal in die Ordner unter wp-content/plugins. Die Namen der Ordner weisen auf die verwendeten Plugins hin. Sind das noch die Plugins, die du auf deiner Seite verwendet hast?
- genau das Gleiche würde ich in Bezug auf das verwendete Theme prüfen
- wenn du dich noch im Dashboard anmelden kannst: Kannst du da noch die Plugins und Themes sehen, die du installiert hast?
Viele Grüße
Hans-Gerd
Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 2 Monaten

Ich nehme an, dass jemand die Sicherheitslücke im Themegrill Demo-Importer ausgenützt und die Datenbank gelöscht hat. Strato sollte eigentlich auch ein Backup der Website haben, vielleicht lässt sich das wiederherstellen.

Thread-Starter saib0t
(@saib0t)

vor 4 Jahren, 2 Monaten

Upate: Der Stato Support schaut es sich im Moment an. So lange soll ich auf der Seite nichts weiter unternehmen. Der Plugin- und Theme-Ordner sehen unverändert aus. Da scheint noch alles drin zu sein.
Auf das Dashboard komme ich ja leider nicht mehr.

Auch die Datenbank ist, soweit ich sehen konnte, unverändert.

Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 2 Monaten

Der Plugin- und Theme-Ordner sehen unverändert aus.

Wenn ich das richtig verstanden habe, wird durch Ausnutzung der Sicherheitslücke die Datenbank zurückgesetzt. Deine Dateien sind dann weiter vorhanden, die Inhalte nicht mehr.

Auch die Datenbank ist, soweit ich sehen konnte, unverändert.

Sind denn die Blogbeiträge noch da? Oder meinst du, dass ganz allgemein noch eine Datenbank mit (weitgehend) leeren Tabellen vorhanden ist?

Ich drücke die Daumen. Vielleicht kann der Support ein älteres Backup wiederherstellen.

Thread-Starter saib0t
(@saib0t)

vor 4 Jahren, 2 Monaten

Du hast Recht Bego Mario Garde.
Der Support hat mir auch bestätigt, dass Themegrill das Problem ausgelöst hat. Wenn ich den Plugin Ordner lösche und ein Backup einspiele, sollte es laut Support gehen.

Weißt du, ob die Lücke schon geschlossen wurde? Ich habe Angst, dass wenn ich das Plugin jetzt lösche mein ganzes Desigm zerschossen ist.

Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 2 Monaten

Das Plugin scheint ja dazu da zu sein, Demo-Layouts zu importieren. Dann brauchst du es für eine bestehende Website nicht mehr. Ich würde das Verzeichnis dieses Plugins löschen und versuchen, die Datenbank wiederherzustellen.

trustisa
(@trustisa)

vor 4 Jahren, 2 Monaten

Hallo an alle,
wir hatten genau das gleiche Problem und haben unser Backup dann wieder einspielen lassen. Das Problem: heute war wieder alles weg. Wir versuchen das jetzt mit diesem Themegrill zu lösen und hoffen, dass die Seite dann morgen wieder da ist.
Wordpress sollte sich da ganz schnell was einfallen lassen, diese Lücke pauschal zu schließen. Es kann nicht sein, dass die User damit allein gelassen werden.
Grüße Isa

Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 2 Monaten

@trustisa

WordPress sollte sich da ganz schnell was einfallen lassen, diese Lücke pauschal zu schließen.

Das ist keine Lücke in WordPress, sondern in einem fragwürdig programmierten Plugin, das du selber installiert hast.

Es kann nicht sein, dass die User damit allein gelassen werden.

Was schlägst du vor?

trustisa
(@trustisa)

vor 4 Jahren, 2 Monaten

Hallo WordPress, danke für die schnelle Antwort. Ich bin halt Anwender und kein ITler, d.h. mir war das nicht bewusst, dass wir genau dieses Plugin selbst installiert haben. Vor allem steht die Seite ja schon seit Monaten und solange ist das Plugin dann wohl auch schon drauf. Wir bitten unseren Provider, das Backup wieder einzuspielen und den Ordner hier entsprechend zu löschen.
Wir sind auf jeden Fall froh, wenn das die tatsächliche Ursache war und die damit dann auch endgültig behoben ist.
Viele Grüße
Isa

trustisa
(@trustisa)

vor 4 Jahren, 2 Monaten

Jetzt noch eine Frage: Wer hat denn das letztendlich ausgelöst, dass überall dort, wo das Plugin da war, die Datenbank gelöscht wurde? Wie muss ich mir das als Laie vorstellen?

Thread-Starter saib0t
(@saib0t)

vor 4 Jahren, 2 Monaten

Wer hat denn das letztendlich ausgelöst, dass überall dort, wo das Plugin da war, die Datenbank gelöscht wurde?

Das wüsste ich auch mal zu gerne…