Support » Allgemeine Fragen » Site zeigt Roboter! Hack?

  • Hallo!

    Diesmal hat es uns echt erwischt, die Site wird bei jeden Aufruf von einem anderen Insert überlagert, welches meist einen Roboter zeigt und fragt ob man einer wäre?
    Manchmal soll man irgendwo ein „Zulassen“ klicken, oä. Aufforderungen hier und dort hinzuklicken um sich als „Mensch“ zu verifizieren.
    Manchmal gibt es diese Button, meist nicht. Klar klick ich nicht drauf.

    Im IE kommen Warnungen, wonach das System unsicher wäre und eine Menge Drohungen, das nun gleich alle Systemdateien gelöscht würden. Auch da manchmal Buttons mit denem man das alles lösen könne …
    Den IE kann man dann nur sehr schwer abschießen, er startet immer wieder neu.

    Kontakt mit Hoster ist hergestellt, mal sehen.
    Adminbereich, DB und FTP ist erreichbar.
    Ein erster Scan auf Veränderungen zeigte nichts.
    Der Servercheck-Dienst zeigt bisher keinen Ausfall

    Gibt es noch andere Scan-Dienste wie „sitecheck.sucuri.net“?
    Denn der erreichte diese Site ohnehin noch nie, brach immer mit 503 ab. (Möglichweise wegen Cloudflare?)

    Was kann ich sonst noch tun? Leider verstehe ich die Standardantwort, welche hier immer mal unter „Website gehackt …“ gegeben wird. Auch Verweise auf englische Sites bringen mir nichts.

    Wie kann ich die Site für alle Besucher sperren?

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)
  • LÖSUNG:
    https://wordpress.org/plugins/yuzo-related-post/ war Schuld!
    Da ich von den Problemen mit dem Plugin nichts wusste, war es auf einer unserer Sites installiert und aktiv.

    In dessen Optionen (DB Tab „wp_options“ -> „yuzo_related_post_options“) versteckte der Hacker JS Code.
    Nach deaktivieren des Plugins ging die Site wieder.
    Nun versuche ich alles von dem Ding zu säubern, hoffe, es ist nicht noch wo was …?

    Da wäre es doch hilfreich, sowas vorher zu wissen, wenn ein Plugin aus dem Verzeichnis entfernt wird.
    Da gab es aber mal eine Site, einen Dienst (oder halt ein Plugin 😉 ) das da warnt? Weiß es nur nicht mehr wie man das erfährt.

    Evtl. hat jemand noch Tipps?

    Danke!

    Hallo,
    die einfachste Lösung ist die, dass Du zunächst mal per FTP die index.php im root-Verzeichnis von WordPress umbenennst, z. B. in index_1.php
    Weitere Möglichkeiten findest Du z. B. auf dieser Seite.

    Hallo,
    dann hat sich mein Beitrag von eben erledigt, weil sich das wohl mit Deiner Antwort überschnitten hat.

    Hallo und Danke – das sind ganz gute Tipps. (Evtl. außer dem „manuellen Malware Check“ wer weiß schon nach welchen Auffälligkeiten er suchen soll? Ich nicht.)
    index umbenennen hat komischerweise ebenso wenig geholfen wie die Fehlerseite(auch das Slim Maintenance Mode Plugin hatte keine Wirkung.)

    Das Plugin Yuzo hab ich entfernt – aber über 10.000 Fundstellen bleiben in der DB wenn ich „yuzo“ in der Suche über alles eingebe … kann ja nicht alles mit „yuzo“ löschen. Wer weiß, was passiert?
    Die meisten der 890 Fundstellen in „wp_options“ sind „_transient“ (was immer das heißt?)

    Meine wichtigste Frage ist aber: Wie erfährt man von unsicheren, aus dem Verzeichnis entfernten Plugins? Da gabs doch mal was, mir fällt es nur nicht mehr ein …

    Hallo,
    hier ein Artikel zu WordPress transients mit entsprechenden Möglichkeiten, diese zu löschen. Ich benutze dazu das plugin WP Optimize.

    Meine wichtigste Frage ist aber: Wie erfährt man von unsicheren, aus dem Verzeichnis entfernten Plugins?

    … das ist eine interessante Frage, die mich auch interessieren würde und auf die ich keine Antwort kenne.

    Hallo und Danke – interessant, jetzt weiß ich auch was da „transient“ bedeutet.
    Die 890 transienten Fundstellen in „wp_options“ sind heute plötzlich weg – jetzt weiß ich auch warum das so ok ist. Danke nochmal!

    Es gab hier (wo sonst) mal einen Tipp, wie man das ganz easy erfährt. Glaube, es war aber auch ein Plugin, das die anderen auf den aktiven Status (oder so) im Downloadverzeichnis checkt.

    Ich hab zwar etliche einschlägige Sites per Twitter uo. RSS auf dem Radar, doch hätte ich früher von den Troubles bei/mit YUZO erfahren, hätte ich es gleich rausgeschmissen.
    So aber war es ein Schock, als sich die Site plötzlich so verhielt …

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)