• Habe borlabs cache deaktiviert da ich immer wieder probleme mit weiterleitungen beim einloggen in wp-admin hatte. Mal ging es, mal nicht.
    Jetzt werde ich sofort weitergeleitet an eine unsichere mail.domain.de
    Lasse ich die .htacces leer bekomme ich einen 500 internen error.
    Erster Versuch ist es das plugin wieder zu aktivieren, aber wie?
    In der DB gibt es ein feld für aktive plugins, aber keine Ahnung was dort für borlabs cache richtigerweise rein muss

    Alle anderen Domains, darunter auch eine WP Installation laufen einwandfrei. Nur hat diese das Plugin nicht drin.

    • Dieses Thema wurde geändert vor 2 Jahren, 10 Monaten von misterairbrush.
Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 15)
  • Hallo,
    schau mal in die folgende Anleitung: Activate a plugin through PHPMyAdmin or FTP?.
    Ich vermute aber nicht, dass du mit der Vorgehensweise das Problem erledigst.
    Lies bitte auch noch mal: Bevor du ein neues Thema (Thread) erstellst.
    Viele Grüße
    Hans-Gerd

    Thread-Starter misterairbrush

    (@misterairbrush)

    Ok fehler gefunden. In der DB unter wp_options ändert sich die siteurl 1
    ständig. Die Fehler tauchen auf wenn sich die site URL änder.
    ändere ich das Passwort der Datenbank und in der wp-config
    kann keine Verbindung zur Datenbank aufgebaut werden.
    Wird das DB passwort noch sonstwo gespeichert?

    • Diese Antwort wurde geändert vor 2 Jahren, 10 Monaten von misterairbrush.

    denkst du bitte daran, das Thema dann auch als gelöst zu markieren, wenn das Thema für dich erledigt ist. Danke.

    Thread-Starter misterairbrush

    (@misterairbrush)

    Ist nicht gelöst. Da hat sich wohl eine WP Sicherheitslücke aufgetan.
    Kann es sein das man das Datenbankpasswort nachträglich bei WP nicht mehr ändern kann?
    Sobald man den DB User ein neues Passwort vergibt und dieses in den wp-config einträgt hat man keine Verbindung mehr zur Datenbank.

    • Diese Antwort wurde geändert vor 2 Jahren, 10 Monaten von misterairbrush.
    Thread-Starter misterairbrush

    (@misterairbrush)

    Ist eindeutig eine Attacke.
    Habe Logs für die DB aktiviert und nach einer Änderung an der WP Datenbank eine IP gefunden. Diese ist bekannt für Attacken und wohl schon gemeldet
    https://www.abuseipdb.com/check/190.120.253.214
    Könnte ich das Passwort ändern so das WP die Datenbank dann auch ansprechen kann wäre die Lücke dicht.

    Thread-Starter misterairbrush

    (@misterairbrush)

    Passwörter sind geändert. Dennoch wird die siteurl in der wp datenbank ständig geändert.
    Suche schon überall ob das auch noch jemand anderes betrifft. Ansonsten wird nichts verändert. Die URL zeigt auch nur auf Domains oder subdomains die auf dem server mal konnektiert waren. Logfiles geben nicht viel her ausser das ein post auf wp_login mit den fehlerhaften site urls ausgeführt werden.
    In der wp_login ist aber nichts geändert. Habe sie auch nochmal gegen die Originale neu heruntergeladene ausgetauscht.
    Der Core und alle plugins sind aktuell.

    • Diese Antwort wurde geändert vor 2 Jahren, 10 Monaten von misterairbrush.

    Wir haben einen FAQ-Beitrag, der beschreibt, welche Schritte du unternehmen solltest, wenn deine Website gehackt wurde:

    Seite gehacked, was tun?

    Häufig hinterlassen Angreifer Backdoors – Skripte, die unabhängig von den WordPress-eigenen Funktionen Angreifern jederzeit eine Anmeldung auf dem Server erlauben. Deshalb ist nach einem Angriff eine Säuberung aller potentiell infizierten Dateien (dazu gehören auch die Mediendateien in deinen eignen Uploads) notwendig.

    Die in der Datenbank eingetragene Website- und WordPress-URL lässt sich durch einen Eintrag in der wp-config.php übergehen und natürlich ist es mit einem Skript auch möglich, den Datenbankeintrag unabhängig von Einträgen im Backend abzuändern.

    Thread-Starter misterairbrush

    (@misterairbrush)

    .htaccess bringt nix.
    Irgendwo ist ein Aufruf der den Eintrag in der Datenbank ändert.
    Die ganzen empfohlenen Tools bereits getestet.
    Installiert sind
    Anti-Malware-Sicherheit und Brute-Force-Firewall
    Exploit Scanner
    Sucuri Security – Auditing, Malware Scanner and Hardening
    Wordfence Security

    Durchsucht wurden
    Apache Logs
    Web Logs
    Mysql logs

    Systemdateien wurden komplett ersetzt.

    • Diese Antwort wurde geändert vor 2 Jahren, 10 Monaten von misterairbrush.

    Spannende Sache. Leider können wir dir aber ohne Angabe der URL und ohne Websitebericht nicht weiterhelfen. Ich drücke die Daumen, dass du noch eine Lösung findest.

    Thread-Starter misterairbrush

    (@misterairbrush)

    Macht viel Sinn die URL auch noch öffentlich zu machen und noch mögliche Angreifer zu informieren. Im Frondend merkt man nichts.
    Websitebericht hatte ich die Tage schon gepostet.
    WP sagt gut. Gibt es keine Datenbank in denen bekannt Lücken und Symptome gespeichert werden? Man kann ja nicht jede Datei absuchen bei so einem zerklüfteten System.

    
    ### wp-core ###
    
    version: 5.8.2
    site_language: de_DE
    user_language: de_DE
    timezone: Europe/Berlin
    permalink: /%postname%.html
    https_status: true
    multisite: false
    user_registration: 0
    blog_public: 1
    default_comment_status: open
    environment_type: production
    user_count: 1
    dotorg_communication: true
    
    ### wp-paths-sizes ###
    
    wordpress_path: /var/www/clients/client1/web3/web
    wordpress_size: 3,02 GB (3239393848 bytes)
    uploads_path: /var/www/clients/client1/web3/web/wp-content/uploads
    uploads_size: 1,10 GB (1179701820 bytes)
    themes_path: /var/www/clients/client1/web3/web/wp-content/themes
    themes_size: 50,74 MB (53208576 bytes)
    plugins_path: /var/www/clients/client1/web3/web/wp-content/plugins
    plugins_size: 56,57 MB (59316170 bytes)
    database_size: 94,16 MB (98733069 bytes)
    total_size: 4,31 GB (4630353483 bytes)
    
    ### wp-active-theme ###
    
    name: Catch Responsive (catch-responsive)
    version: 2.8
    author: Catch Themes
    author_website: https://catchthemes.com/
    parent_theme: none
    theme_features: core-block-patterns, widgets-block-editor, automatic-feed-links, post-thumbnails, menus, post-formats, custom-background, editor-style, title-tag, custom-logo, wp-block-styles, editor-styles, align-wide, responsive-embeds, editor-font-sizes, editor-color-palette, custom-header, widgets
    theme_path: /var/www/clients/client1/web3/web/wp-content/themes/catch-responsive
    auto_update: Deaktiviert
    
    ### wp-themes-inactive (4) ###
    
    Catch Responsive: version: 2.6.2, author: Catch Themes, Automatische Aktualisierungen deaktiviert
    Twenty Nineteen: version: 2.1, author: WordPress-Team, Automatische Aktualisierungen deaktiviert
    Twenty Twenty: version: 1.8, author: WordPress-Team, Automatische Aktualisierungen deaktiviert
    Twenty Twenty-One: version: 1.4, author: WordPress-Team, Automatische Aktualisierungen deaktiviert
    
    ### wp-plugins-active (24) ###
    
    Advanced Editor Tools (previously TinyMCE Advanced): version: 5.6.0, author: Automattic, Automatische Aktualisierungen deaktiviert
    Akismet Anti-Spam: version: 4.2.1, author: Automattic, Automatische Aktualisierungen deaktiviert
    Anti-Malware Security and Brute-Force Firewall: version: 4.20.92, author: Eli Scheetz, Automatische Aktualisierungen deaktiviert
    Borlabs Cache: version: 1.6.4, author: Benjamin A. Bornschein, Borlabs, Automatische Aktualisierungen deaktiviert
    Bulk Media Register: version: 1.25, author: Katsushi Kawamori, Automatische Aktualisierungen deaktiviert
    Classic Editor: version: 1.6.2, author: WordPress Contributors, Automatische Aktualisierungen deaktiviert
    Contact Form 7: version: 5.5.2, author: Takayuki Miyoshi, Automatische Aktualisierungen deaktiviert
    Disable Gutenberg: version: 2.5.1, author: Jeff Starr, Automatische Aktualisierungen deaktiviert
    Enhanced Media Library: version: 2.8.8, author: wpUXsolutions, Automatische Aktualisierungen deaktiviert
    Exploit Scanner: version: 1.5.2, author: Automattic, Automatische Aktualisierungen deaktiviert
    Flamingo: version: 2.2.2, author: Takayuki Miyoshi, Automatische Aktualisierungen deaktiviert
    GDPR Cookie Consent: version: 2.0.6, author: WebToffee, Automatische Aktualisierungen deaktiviert
    Menu Icons: version: 0.12.9, author: ThemeIsle, Automatische Aktualisierungen deaktiviert
    Post Video Metabox: version: 2.0.0, author: palagornp, Automatische Aktualisierungen deaktiviert
    Post Views Counter: version: 1.3.9, author: Digital Factory, Automatische Aktualisierungen deaktiviert
    reCaptcha by BestWebSoft: version: 1.66, author: BestWebSoft, Automatische Aktualisierungen deaktiviert
    Simple Lightbox: version: 2.8.1, author: Archetyped, Automatische Aktualisierungen deaktiviert
    Sucuri Security - Auditing, Malware Scanner and Hardening: version: 1.8.30, author: Sucuri Inc., Automatische Aktualisierungen deaktiviert
    Wordfence Security: version: 7.5.7, author: Wordfence, Automatische Aktualisierungen deaktiviert
    WP Editor: version: 1.2.7, author: Benjamin Rojas, Automatische Aktualisierungen deaktiviert
    WP Media folders: version: 1.1.10, author: Damien Barrère, Automatische Aktualisierungen deaktiviert
    Yoast SEO: version: 17.6, author: Team Yoast, Automatische Aktualisierungen deaktiviert
    Yoast Test Helper: version: 1.15, author: Team Yoast, Automatische Aktualisierungen deaktiviert
    YotuWP - YouTube Gallery: author: (undefined), version: 1.3.4.5, Automatische Aktualisierungen deaktiviert
    
    ### wp-plugins-inactive (2) ###
    
    Block Logic: version: 1.0.3, author: Sascha Paukner, Automatische Aktualisierungen deaktiviert
    WP Statistics: version: 13.1.2, author: VeronaLabs, Automatische Aktualisierungen deaktiviert
    
    ### wp-media ###
    
    image_editor: WP_Image_Editor_GD
    imagick_module_version: Nicht verfügbar
    imagemagick_version: Nicht verfügbar
    imagick_version: Nicht verfügbar
    file_uploads: File uploads is turned off
    post_max_size: 20M
    upload_max_filesize: 20M
    max_effective_size: 20 MB
    max_file_uploads: 50
    gd_version: 2.2.5
    gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
    ghostscript_version: 9.27
    
    ### wp-server ###
    
    server_architecture: Linux 4.19.0-18-amd64 x86_64
    httpd_software: Apache
    php_version: 7.3.31-2+0~20211022.89+debian10~1.gbp745ac7 64bit
    php_sapi: cgi-fcgi
    max_input_variables: 1000
    time_limit: 120
    memory_limit: 128M
    admin_memory_limit: 256M
    max_input_time: 60
    upload_max_filesize: 20M
    php_post_max_size: 20M
    curl_version: 7.64.0 OpenSSL/1.1.1d
    suhosin: false
    imagick_availability: false
    pretty_permalinks: true
    htaccess_extra_rules: true
    
    ### wp-database ###
    
    extension: mysqli
    server_version: 10.3.31-MariaDB-0+deb10u1-log
    client_version: mysqlnd 5.0.12-dev - 20150407 - $Id: 7cc7cc96e675f6d72e5cf0f267f48e167c2abb23 $
    
    ### wp-constants ###
    
    WP_HOME: undefined
    WP_SITEURL: undefined
    WP_CONTENT_DIR: /var/www/clients/client1/web3/web/wp-content
    WP_PLUGIN_DIR: /var/www/clients/client1/web3/web/wp-content/plugins
    WP_MEMORY_LIMIT: 40M
    WP_MAX_MEMORY_LIMIT: 256M
    WP_DEBUG: false
    WP_DEBUG_DISPLAY: false
    WP_DEBUG_LOG: false
    SCRIPT_DEBUG: true
    WP_CACHE: false
    CONCATENATE_SCRIPTS: undefined
    COMPRESS_SCRIPTS: undefined
    COMPRESS_CSS: undefined
    WP_LOCAL_DEV: undefined
    DB_CHARSET: utf8mb4
    DB_COLLATE: undefined
    
    ### wp-filesystem ###
    
    wordpress: writable
    wp-content: writable
    uploads: writable
    plugins: writable
    themes: writable
    
    
    • Diese Antwort wurde geändert vor 2 Jahren, 10 Monaten von misterairbrush.

    Man kann ja nicht jede Datei absuchen bei so einem zerklüfteten System.

    na ja, das sehe ich anders. Aber vielleicht helfen dir diese Liste oder die Infos von Wordfence.
    Abgesehen davon ist es sicher nicht verkehrt, auf PHP 7.4.x umzustellen (statt PHP 7.3.x). Und die Größe der WordPress-Instanz mit 4,31 GB ist auch eher ungewöhnlich. Akismet Anti-Spam ist in der Regel nicht datenschutzkonform. Das sind aber zugegebenermaßen eher keine Verbesserungen, die bezogen auf das Problem eine Lösung bringen.

    Thread-Starter misterairbrush

    (@misterairbrush)

    Askimet wurde durch das überspielen mit Originaldateien installiert. Ist schon gelöscht.
    Sucuri ist ebenfalls wieder weg weil es ohne käuflichen API Key offensichtlich nicht viel bringt.
    Habe in der Datenbank etwas gefunden was passen könnte. WordPress blog.header.php SQL injection
    Leider steht da nur das man den WP Patch einspielen sollte. Da ich die Updates ständig gemacht habe sollte das der Fall sein. Probleme fingen erst mit den ganzen Updates an.
    Leider gibt es in der Datenbank kaum Hinweise auf den verwendeten Code so das man immer auf irgendwelche Tools angewiesen ist und die betroffenen Dateien nicht findet.
    Blöderweise nimmt Borlabs Cache die falschen URLs auch in den Cache auf so das man die Datenbank auch ständig ändern muss.
    Wenn die ganzen Tools versagen muss man selber suchen. Da die Probleme mit Aktualisierungen anfingen scheint das ein neues Problem zu sein.

    Thread-Starter misterairbrush

    (@misterairbrush)

    Das ganze sieht aus wie ein cronjob der unregelmässig aufgerufen wird. Wo speichert Wp so etwas ab?

    Vielleicht kannst du das mit WP Crontrol rausfinden.

    Thread-Starter misterairbrush

    (@misterairbrush)

    Ist schon mal nicht schlecht. Wenn man nun noch die Scripte an sich sehen könnte. Diese Amazonloginversuche nerven. So langsam habe ich die ganzen IP Blöcke aus Ohio blockiert.

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 15)
  • Das Thema „Plugin aktivieren ohne WP-admin“ ist für neue Antworten geschlossen.