• Lanzelet

    (@lanzelet)


    Hallo Forum,

    ich versuche mal die Ereignisse zusammen zu fassen, die ich beim Blog meiner Frau am Sonntag beobachtet habe.

    1. Sonntag-Abend wurden auf der Seite keine Stylesheets mehr geladen und die Seite wurde nicht mehr korrekt angezeigt. Auf der Admin-Login-Seite waren nur noch ein „kryptisches“ Durcheinander von Buchstaben/Zahlen zu sehen.
    Anfangs leitete die Blog-URL auf diverse andere Seiten um, voran auf eine Seite mit .js Endung.
    –> Habe darauf den Support vom Provider kontaktiert (All-inkl), der meinte, das sei ein Hack und in der Datenbank wurde die Tablle „options“ bei „siteurl“ verändert.

    Ich habe dann in der DB die siteurl wieder korrigiert und der Blog lief wieder normal.

    Soweit so gut.

    2. Meine Sofort-Maßnahmen danach waren:
    – Alle WP-Plugins und Themes aktualisiert
    – PHP von 5.5 auf 7.0 geändert
    – Neue Passwörter für die Datenbank und die beiden WP-Admins generiert.

    3. Nach 1-2 Stunden fiel uns auf, dass ständig neue User auf dem Blog registriert wurden, mit generischen Namen und Mails, die ALLE auch Admin-Rechte hatten.
    – Natürlich haben wir die alle gelöscht bis auf die eigenen.
    – Diese Registrierung von Admin-User hält aber weiterhin an.

    Nun die Frage, was wir hier tun können, damit dies unterbunden wird. Und vor allem, was passiert da eigentlich?
    Ich hoffe ihr könnt uns helfen, da sich die Seite auch um ein kommerzielles Projekt handelt.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 4 Antworten – 1 bis 4 (von insgesamt 4)
  • Moderator Torsten Landsiedel

    (@zodiac1978)

    Die Lücke ist wohl noch nicht geschlossen oder noch eine Backdoor vorhanden.

    Du kannst jetzt weiter suchen und hoffen diesmal alles zu finden, ein Backup einspielen was vor dem Hack war oder einen Dienstleister beauftragen.

    Wenn du dich selber versuchen möchtest. Bego hat dazu mal eine Anleitung geschrieben:
    https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/

    Wenn du schon auf PHP7 wechselst, dann am besten auf eine aktive Version:
    http://php.net/supported-versions.php

    Gruß, Torsten

    Thread-Starter Lanzelet

    (@lanzelet)

    Hi Torsten,

    hört sich jetzt nicht so gut an, aber ich habs befrüchtet.

    Werde mich mal mit der Anleitung auf die Suche begeben, vielleicht finde ich was auf Anhieb.
    Danke für die Tipps!

    jalira

    (@jalira)

    Hallo @lanzelet,

    ich fürchte, ich habe das selbe Problem wie Du. Kannst Du mir genauer sagen, wie Du in der DB die siteurl korrigiert hast? Also, was stand drin und was muss korrekter Weise drin stehen?

    Vielen Dank vorab für Deine Rückmeldung
    JaLiRa

    Thread-Starter Lanzelet

    (@lanzelet)

    Hi Jalira,

    ich habe in der Tabelle „options“ die siteurl wieder auf die richtige URL geändert. Das hat bei mir geholfen.

    Vergleiche evtl. den Inhalt der Tabelle mit einer alten Backup-Datei, falls vorhanden.

    Ändere aber unbedingt deine Passwörter und bringe alles auf den neusten Stand!

Ansicht von 4 Antworten – 1 bis 4 (von insgesamt 4)
  • Das Thema „Seite DB-Hack, was kann ich tun?“ ist für neue Antworten geschlossen.