Unterseiten sind nicht mehr erreichbar

  • Gelöst ronerone

    (@ronerone)


    vor 5 Monaten, 4 Wochen

    Hallo, wir Erlacher haben seit 2020 eine Seite über unsere Geschichte. Trotz 2 fach Authentifizierung wurden wir nun das 2.mal gehackt. Nach dem Löschen einer haccsses Datei die sich überall eingeschrieben hat.

    Hier die log Datei von Ionos:

    Hier finden Sie unsere Analyseergebnisse.
    Damit Ihre Webseite wieder wie gewohnt funktioniert müssen Sie nach erfolgter Bereinigung die Dateirechte wieder auf 604 ändern.

    Folgende Dateien wurden aller Wahrscheinlichkeit nach von Dritten hochgeladen.
    Bitte überpruefen Sie diese Dateien und löschen Sie diese gegebenenfalls.
    ~/clickandbuilds/GeschichteErlachDigital/wp-includes/blocks/nextpage/content.php ist irgendwie nicht meh vorhanden
    ~/clickandbuilds/GeschichteErlachDigital/wp-link.php dies stellt sich immer wieder auf 200
    ~/clickandbuilds/GeschichteErlachDigital/wp-includes/IXR/wp-link.php – habe ich gelöscht
    ~/clickandbuilds/GeschichteErlachDigital/wp-content/cache/cache-enabler/geschichte-erlach.de/category/verwaltung/86738- habe ich gelöscht und eine mit noch einer
    Zahl die am gleichen Tag installiert wurde
    ~/admin.php – habe ich gelöscht
    ~/.htaccess – habe ich gelöscht

    Folgende Dateien wurden aller Wahrscheinlichkeit nach von Dritten modifiziert.
    Bitte überpruefen Sie diese Dateien und laden Sie diese gegebenenfalls aus einem nicht infizierten Backup erneut auf Ihren Webspace.
    ~/index.php – diese habe ich korrigiert

    Dateien, die sich downloaden ließen habe ich heruntergeladen.

    Nach all diesen Dingen ist die Seite wieder erreichbar, aber bis auf externe Webseitenlinks kommet man nirgendwo weiter.

    Ich würde mich freuen, wenn wir die Seite wieder komplett zum Laufen bekommen würden. Vielleicht welche Dateien ich suchen überprüfen soll, oder wie ich fehlende einfügen kann.

    Im Voraus vielen Danke für die Hinweise

    Ronald Jenkner

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 23)
1 2
  • Moderator Hans-Gerd Gerhards

    (@hage)

    vor 5 Monaten, 4 Wochen

    Hallo,
    lies mal bitte den folgenden Beitrag aus unserer FAQ: https://de.wordpress.org/support/topic/seite-gehacked-was-tun/

    Wenn eine Website gehackt wurde, kann die Bereinigung selbst für Experten in der Regel recht aufwendig sein. Alle „Einfallstore“ zu finden, ist schon sehr mühsam und zeitaufwendig.
    Evtl. solltest du dich an eine Firma wenden, die das für dich übernimmt.

    Viele Grüße
    Hans-Gerd

    Moderator Torsten Landsiedel

    (@zodiac1978)

    vor 5 Monaten, 4 Wochen

    Eine gehackte Site wieder komplett bereinigt zu bekommen, ist gar nicht so einfach. Typischerweise erkennen die Scanner nicht alle Veränderungen und Backdoors und es geht schnell wieder von vorne los. Außerdem müssen die Dateien z.T. nicht gelöscht, sondern durch die Originale ersetzt werden.

    Das konkrete Problem mit den Unterseiten liegt höchstwahrscheinlich daran, dass die .htaccess gelöscht wurde. Ein Aufrufen bzw. neu speichern der Permalinks unter Einstellungen sollte das WordPress-Original wieder herstellen. Etwaige Ergänzungen sind natürlich dann nicht mehr vorhanden.

    Eigentlich wäre ein Einspielen eines Backups von vor dem Hack besser, da alle Daten jetzt eigentlich als „korrumpiert“ und womöglich fehlerhaft (bzw. mit Malware verseucht) gelten müssen. Wenn das keine Option ist, weil zu alt oder nicht vorhanden, dann auf jeden Fall eine Firewall installieren.

    Wordfence, NinjaFirewall, WP Cerber, Sucuri – es gibt da ein paar Angebote.

    Die WordPress-Dateien kann man auch einfach mit einem neuen Set austauschen – /wp-content muss dann einzeln geprüft werden. Plugins und Theme kann man ggf. auch durch neue, frische Downloads ersetzen. Der Rest muss manuell geprüft werden. wp-config.php nicht vergessen!

    Hier ist ein guter Startpunkt:
    https://wordpress.org/documentation/article/faq-my-site-was-hacked/

    Viel Erfolg!

    Thread-Starter ronerone

    (@ronerone)

    vor 5 Monaten, 4 Wochen

    Hallo Torsten, danke für die Hinweise. folgende htaccsess Datei

    Order allow,deny Deny from all
    Order allow,deny Allow from all

    zeigt leider nicht alles an, da wohl in Programmiersprache

    habe ich heruntergeladen, da ich mir nicht sicher war und sie einen anderen Inhalt hatte als die bösartige Datei. Wo müsste die hin, wenn ich sie wieder hochlade. Wäre zumindest ein Versuch. Plugins und Theme und so weiter müssten sauber sein. Aber was eventuell in Dateien die zur gleichen Zeitpunkt des Einfalls geändert wurde weiß ich natürlich als Nichtprogrammierer nicht.

    Werde Deine weitern Hinweise angehen. Vielen Dank Ronald

    Moderator Torsten Landsiedel

    (@zodiac1978)

    vor 5 Monaten, 4 Wochen

    Wo müsste die hin, wenn ich sie wieder hochlade.

    Du solltest nichts aus dem infizierten Download wieder hochladen, sondern durch das neu Speichern der Permalinks in WordPress die .htaccess neu erstellen lassen. Dann sollten die Unterseiten auch wieder gehen. Das wäre zumindest ein typisches Problem, wenn die htaccess aus dem Root gelöscht ist.

    Thread-Starter ronerone

    (@ronerone)

    vor 5 Monaten, 4 Wochen

    Hallo Hans Gerhardt, ich betreibe seit 20 Jahren Webseiten wo ich WP selbst installiert habe und hatte noch nie einen Hack und die laufen ohne Probleme. Bei dieser Seite mussten wir weil das Projekt mit Fördergeldern versehen war einen Extra Vertrag machen und haben uns durch IONOS WP installieren lassen. Das muss nichts zu sagen haben aber wie gesagt nun das 2. mal gehackt. Ja, aber Du hast Recht der Profi ins solchen Fragen bin ich nicht.

    Auch Dir vielen Dank für Deine Unterstützung Ronald

    Thread-Starter ronerone

    (@ronerone)

    vor 5 Monaten, 4 Wochen

    Hallo Torsten, danke für den Tipp. Da ich nicht mehr auf´s Dashboard komme könnte ich dass nur auf dem Webspace tun. Oder geht es dann nicht? Ich bin halt kein Programmierer.

    Moderator Torsten Landsiedel

    (@zodiac1978)

    vor 5 Monaten, 4 Wochen

    Dass du nicht mehr ins backend kommst, ist eine neue Information.

    Die Standard .htaccess findest du hier:
    https://developer.wordpress.org/advanced-administration/server/web-server/httpd/

    Achtung: da ist ein Punkt vorne, der muss da auch hin. Sorgt aber dafür, dass bei vielen FTP-Programmen die Datei versteckt wird, also ggf. Anzeige von versteckten Dateien aktivieren.

    Thread-Starter ronerone

    (@ronerone)

    vor 5 Monaten, 3 Wochen

    Hallo Torsten. ich muss da noch einmal nachfragen. Ich muss mir da eine .htaccess Datei mit dem dort verlinktem Code erstellen. und dann hochladen, würde ich über Webspaceexplocher machen in den komme ich ja. In welches Verzeichnis muss ich den dann verschieben?

    Dann ist mir im Vergleich der login.php meiner HP und der gehackten folgendes aufgefallen. Vergliche bitte Zeile 3. Hat das was zu bedeuten?

    Meine HP

    // Redirect to HTTPS login if forced to use SSL.
    if ( force_ssl_admin() && ! is_ssl() ) {
    if ( 0 === strpos( $_SERVER[‚REQUEST_URI‘], ‚http‘ ) ) {
    wp_safe_redirect( set_url_scheme( $_SERVER[‚REQUEST_URI‘], ‚https‘ ) );
    exit;
    } else {
    wp_safe_redirect( ‚https://‘ . $_SERVER[‚HTTP_HOST‘] . $_SERVER[‚REQUEST_URI‘] );
    exit;
    }

    gehackte HP

    // Redirect to HTTPS login if forced to use SSL.
    if ( force_ssl_admin() && ! is_ssl() ) {
    if ( str_starts_with( $_SERVER[‚REQUEST_URI‘], ‚http‘ ) ) {
    wp_safe_redirect( set_url_scheme( $_SERVER[‚REQUEST_URI‘], ‚https‘ ) );
    exit;
    } else {
    wp_safe_redirect( ‚https://‘ . $_SERVER[‚HTTP_HOST‘] . $_SERVER[‚REQUEST_URI‘] );
    exit;
    }

    Der Rest ist wie ich gesehen habe davor und danach gleich. Ist ja nur ein Abschnitt aus der ganzen Datei.

    Vielen Dank für Deine Bemühungen. Ronald

    Moderator Torsten Landsiedel

    (@zodiac1978)

    vor 5 Monaten, 3 Wochen

    In welches Verzeichnis muss ich den dann verschieben?

    Die .htaccess von WordPress liegt im Wurzelverzeichnis (Root-Verzeichnis), also auf der obersten Ebene.

    Dann ist mir im Vergleich der login.php meiner HP und der gehackten folgendes aufgefallen. Vergliche bitte Zeile 3. Hat das was zu bedeuten?

    Das liegt daran, dass du WordPress <6.3 mit einem aktuelleren WP vergleichst. Diese Änderung kam mit WP 6.3:
    https://core.trac.wordpress.org/ticket/58012

    Aber nach einem Hack würde ich sowieso ein neues WP-Set benutzen. Also WordPress (in der richtigen Version!) herunterladen und dann auf dem Server alles löschen (außer wp-content-Ordner und wp-config.php und ggf. Dateien, die du manuell abgelegt und geprüft hast). Und dann das neue Set hochladen. Dann weißt du, dass diese Ordner alle nicht betroffen sind.

    Alte Versionen findest du hier:
    https://wordpress.org/download/releases/

    Thread-Starter ronerone

    (@ronerone)

    vor 5 Monaten, 3 Wochen

    Hallo Torsten,

    Aber nach einem Hack würde ich sowieso ein neues WP-Set benutzen

    Ich habe zwar großen Respekt davor, das wird wohl die beste Variante sein. Also WP zip Datei hochladen; entpacken; angegebene Sachen ,( sind bei mir hier clickandbuilds/GeschichteErlachDigital abgelegt )löschen; wp-config. php sichern; danach die neuen Sachen in das gleiches Verzeichnis verschieben. Richtig so? Da gibt es noch einen metadata Ordner mit application und installation-files ist aber kein Typ angegeben. Ist das was von Ionos? In dem Verzeichnis wo WP liegt, gibt es eine about.php und radio.php, die es im normalen WP nicht gibt. Was sind dies php´s. Die config.php könnte ich ja auch schon vorher runterladen im neuen WP ersetzen und dann erst hochladen, oder?

    Wenn es zwischen durch mal einige Zeit dauert, ich bin momentan viel mit der Drohne unterwegs. Die Bauern mähen. Rehkitzrettung

    Ich bin gespannt und vielen Dank für die Hilfe Ronald

    Moderator Torsten Landsiedel

    (@zodiac1978)

    vor 5 Monaten, 3 Wochen

    Da gibt es noch einen metadata Ordner mit application und installation-files ist aber kein Typ angegeben. Ist das was von Ionos?

    Ja, genau.

    In dem Verzeichnis wo WP liegt, gibt es eine about.php und radio.php, die es im normalen WP nicht gibt.

    Dann sehr wahrscheinlich Teil des Hacks.

    Die config.php könnte ich ja auch schon vorher runterladen im neuen WP ersetzen und dann erst hochladen, oder?

    Dann kannst du sie ja auch gleich oben lassen 😉
    Nur solltest du mal via Editor reinschauen, ob da nicht auch Malware reingeschrieben wurde.

    Weiterhin viel Erfolg! Und immer vorher ein Backup (Dateien + Datenbank) machen, damit du wieder auf den Status Quo kommst. Ganz wichtig.

    Thread-Starter ronerone

    (@ronerone)

    vor 5 Monaten, 3 Wochen

    Ich hab mal noch eine Frage? Eine Backup bedeute ja den WP-content Ordner zu sichern, um ihn später wieder einspielen zu können?

    Ich könnte doch auch den Content Ordner herunterladen und diesen in eine andere WP Installation, einfügen ( habe noch eine Domain im Wartungsmodus ), um zu sehen ob da alles funktioniert, oder? Komme da ja auch noch auf das Dashboard, das hat ja nichts mit dem content Ordner zu tun? Oder in Bitnami WordPress Appliance ausprobieren.

    Da wäre nur dass Problem, dass ich keine Firewall installieren kann ( könnte den Ordner aber auch auf dem Rechner scannen, oder?), oder kann man auch nach und nach Teile des Content Ordners, bzw. die Plug- ins einfügen?

    Ist halt nur die Frage ob die Domain dabei eine Rolle spielt, aber sollte nicht. Das hat ja mit der Config.php zu tun und diese wird ja nicht geändert.

    Wenn das so ginge, könnte ich dann auf der gehackten Domain eine neues WP mit gesicherter config.php aufsetzen und den WP-content Ordner wieder ersetzen. So könnte die Seite erst einmal weiter laufen.

    Klingt und ist wahrscheinlich alles zu umständlich????

    Ronald

    Thread-Starter ronerone

    (@ronerone)

    vor 5 Monaten, 3 Wochen

    Habe nun mehrmals versucht den content-Ordner zu kopieren und ihn in das Hauptverzeichnis zu kopieren. Hatte gedacht das kann man. wollte ihn dann downloaden und mir dadurch sichern. Aber er wird nicht vollständig kopiert. Geht das so überhaupt, oder geht nur verschieben?

    Mir ist in der config.php aufgefallen es gibt dort keine debug-Funktion?

    Ich komme ja nicht mehr in mein Dashboard. Ich bekomme da geschichte-erlach.de/wp-admin/edit.php?post_type=page&ids=205 anstatt …../login.php angezeigt. In dem Tabellenverzeichnis der Datenbank sind auch die korrekten Benutzer drin, kein zusätzlichen. Dazu gibt es vielleicht schon ein Thema, wen ja bitte sagen dann suche ich es in den Themen.

    Ronald

    Moderator threadi

    (@threadi)

    vor 5 Monaten, 3 Wochen

    Ein Backup sollte nicht nur die meisten (nicht alle) Inhalte von wp-content beinhalten sondern auch die Datenbank. In dieser stehen die Daten deiner Website. Die sind nicht im wp-content-Ordner. Dort sind nur Dateien auf die sich die Daten beziehen sowie Plugins und Themes.

    Damit zu basteln bringt aber wenig und ist zeitaufwendig. Hast Du denn, wie oben geschrieben, ein sauberes Backup zur Verfügung? Eines von der Zeit bevor du den vermeintlichen Hack festgestellt hast? Wenn ja, nutze das.

    Thread-Starter ronerone

    (@ronerone)

    vor 5 Monaten, 3 Wochen

    @threadi ,

    vielen Dank für die Informationen. Die Datenbank habe ich erst jetzt gesichert. Aber wenn ich richtig gesehen habe gibt es da Backups und ich habe die letzten 7 (war so eingestellt) gespeichert.

    Leider gibt es kein sauberes Backup. Werde ich aber sofort wenn die Seite wieder hergestellt ist machen!!!

    Die Daten bzw. Dateien würde ich mir aber schon gerne sichern

    Noch eine Frage.: Wieso funktionieren Links zu externen Seiten und die internen nicht?

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 23)
1 2

Du musst angemeldet sein, um auf dieses Thema zu antworten.