Support » Allgemeine Fragen » Website gehackt?

  • Gelöst Thobie

    (@thobie)


    Moin,

    vermutlich hat jemand meine Website gehackt.

    Seit Sonntag, dem 4.10.2020, erscheint bei Aufrufen des Frontend und Backend der Site nur jeweils ein weißes Browser-Fenster.

    Beim Kontakieren des Supports meines Providers wurde mir zunächst mitgeteilt, dass serverseitig keine Probleme vorliegen.

    Dann erhielt ich die Mitteilung, dass die WP-Installation keinen wp-content-Ordner enthält. Und dies, obwohl ich seit einigen Monaten definitiv nichts an der Site geändert habe.

    Ich habe in der Backup-Übersicht im Kunden-Login meines Providers nachgeschaut. Und tatsächlich zeigt das Backup vom 03.10.2020 um 23.35 h die letzte Änderung. Dann ist in den Backups kein wp-Content-Ordner mehr vorhanden.

    Ich habe nun zuerst den wp-content-Ordner aus dem Backup wiederhergestellt. Keine Änderung. Weiße Browser-Fenster.

    Ich habe dann ein komplettes Backup vom September aufgespielt. Keine Änderung. Das sollte ja eigentlich funktionieren, weil es eine funktionierende WP-Installation war.

    Dann habe ich den Namen des Plugin-Ordners im Webspace des Kunden-Logins meines Providers geändert. Keine Änderung. Wie ich schon vermutet hatte, liegt es nicht an einem oder mehreren Plugins.

    Gehen wir die Sache einmal umgekehrt an.

    Gehen wir einmal davon aus, ich würde den Webspace komplett löschen. Die Datenbank bleibt erhalten. Ich installiere eine komplett neue, frische WordPress-Installation auf dem Server.

    Dann stelle ich den Ordner wp-content sowie die beiden Dateien wp-config.php und .htaccess aus dem Backup wieder her.

    Sollte das funktionieren, dass die Website wieder mit allen Inhalten aufzurufen ist?

    Grüße aus Hamburg

    Thobie

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 26)
  • Hallo,
    schau bitte mal in diese Anleitung als ersten Ansatz. Über sucuri kannst du das selbst überprüfen.
    Viele Grüße
    Hans-Gerd

    Moderator Bego Mario Garde

    (@pixolin)

    Ob die Website gehackt wurde oder das Verzeichnis versehentlich gelöscht wurde, können wir hier nicht beurteilen.

    Grundsätzlich sollte sich die Website wiederherstellen lassen, wenn die Core-Dateien wieder hochgeladen, das Verzeichnis wp-content aus einem Backup wiederhergestellt wird und die Datenbanktabellen weiterhin intakt sind.

    Wenn die Website tatsächlich gehackt wurde, ist es gut möglich, dass der Angreifer im Verzeichnis wp-content eine Backdoor eingerichtet hat, um sich später wieder Zugang zu verschaffen. Es ist deshalb sinnvoll, die Dateien soweit wie möglich auszutauschen (Themes, Plugins, MU-Plugins), zu löschen (Cache-Dateien) und den Rest äußerst sorgfältig auf möglichen Malware-Befall und Script-Dateien zu prüfen. Außerdem sollte vorsorglich die Ausführung von PHP-Dateien durch eine entsprechende Regel in einer .htaccess im Uploads- Verzeichnis gesperrt werden. (vgl. https://www.wpbeginner.com/wp-tutorials/how-to-disable-php-execution-in-certain-wordpress-directories/).

    Viel Erfolg.

    Moin, Hans-Gerd,

    das ist wohl ein Scherz?

    500,– € pro Jahr?

    Grüße aus Hamburg

    Thobie

    Moderator Bego Mario Garde

    (@pixolin)

    Wo klemmt’s denn diesmal wieder?

    Hans-Gerd hat dich auf einen Beitrag in unserer FAQ aufmerksam gemacht und auf eine Website hingewiesen, die eine kostenlose Prüfung von WordPress-Installationen auf Malware anbietet. Das wird auf dieser Website auch klar dokumentiert:

    Free website security check & malware scanner

    Wenn jeder Versuch, dir bei Fragen zu helfen, in aggressivem Feedback von dir endet, solltest du dir bitte überlegen, künftig woanders Hilfe zu suchen.

    Sorry, Bego,

    diesen free website security check fand ich zunächst nicht. Sondern nur einen pricing plan von 200–500,– € pro Jahr. Deswegen war ich zunächst etwas überrascht über die Hilfestellung.

    Ich habe die Site von sucuri checken lassen. Ergebnis:

    Scan Failed. Unable to scan your site. 500 Internal Server Error
    Scan Failed. Unable to scan your site. Site empty (no content)

    Nun, dann werde ich mich wohl einmal daran machen, eine neue, saubere WP-Installation auf dem Webspace zu installieren und den wp-content-Ordner aus dem Backup zu ziehen.

    Grüße aus Hamburg

    Thobie

    Moin,

    folgende Vorgehensweise:

    1. Webspace von kreativ-schmie.de gelöscht. Browsermeldung: URL not found.
    2. Bestehende Datenbank nicht angerührt, sie bleibt erhalten.
    3. WP 4.5.2 von wordpress.org heruntergeladen – ich verzichte derzeit noch auf WP 5.5 – und alle Dateien und Ordner auf den Webspace geladen. Browserfenster weiß.
    4. Folgende Ordner und Dateien von einem Backup von WP 4.5.2 vom September aus den Backups meines Providers auf dem Webspace wiederhergestellt:
    
wp-content-Ordner

    .htaccess
    
.htuser

    .user.ini
    
wp-config.php

    Ergebnis: Frontend und Backend jeweils weißes Browserfenster. Keine Website.

    Was mache ich falsch?

    Grüße aus Hamburg

    Thobie

    Moin,

    ich habe jetzt die Log-Dateien meines Providers heruntergeladen. Und zwar vom heutigen Tag. Ich habe gegen 17.06 sowohl Frontend als auch Backend aufgerufen. Dies sind die Log-Einträge:

    kreativ-schmie.de anon-77-0-92-83.telefonica.de – – [17/Oct/2020:17:04:15 +0200] „GET /admin HTTP/1.1“ 500 – „-“ „Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0 Safari/605.1.15“
    kreativ-schmie.de anon-77-0-92-83.telefonica.de – – [17/Oct/2020:17:04:21 +0200] „GET / HTTP/1.1“ 500 – „-“ „Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0 Safari/605.1.15“
    kreativ-schmie.de anon-3-90-11-180.amazonaws.com – – [17/Oct/2020:17:06:22 +0200] „GET /ads.txt HTTP/1.1“ 301 241 „-“ „AdsTxtCrawler/1.0.2“
    kreativ-schmie.de anon-3-90-11-180.amazonaws.com – – [17/Oct/2020:17:06:22 +0200] „GET /ads.txt HTTP/1.1“ 500 – „-“ „AdsTxtCrawler/1.0.2“

    Grüße aus Hamburg

    Thobie

    Moderator Bego Mario Garde

    (@pixolin)

    Da sind zu viele Stellschrauben, um auf Anhieb sagen zu können „das ist falsch“.

    Stimmen die Zugangsdaten zur Datenbank in der wp-config.php?
    Was ist in .htuser und .user.ini enthalten?
    Was steht in der .htaccess?
    Wurden die Dateien in wp-content sorgfälig geprüft?
    Was passiert, wenn du das Verzeichnis wp-content/plugins umbenennst?

    Das wir zu deiner weiteren Nutzung von WordPress 4.5.2 Vorbehalte haben, haben wir hier bereits ausgiebig diskutiert – das fangen wir bitte nicht nochmal an.

    Moin,

    ich habe eben nochmals die bestehend Datenbank geprüft.

    Sie ist aktiv, intakt, mit den von mir eingegebenen Inhalten gefüllt und der Datenbank-Name und Datenbank-Passwort stimmen mit den Daten in der wp-config.php überein.

    Grüße aus Hamburg

    Thobie

    Moderator Bego Mario Garde

    (@pixolin)

    … und der Datenbank-Name und Datenbank-Passwort stimmen mit den Daten in der wp-config.php überein.

    Wie oft ich das hier im Forum schon gelesen habe – und dann waren irgendwo in der wp-config.php typographische Anführungszeichen oder eine fehlende Klammer. Für einen Außenstehenden ist sowas unmöglich zu beurteilen.

    Moin, Bego,

    Stimmen die Zugangsdaten zur Datenbank in der wp-config.php?
    ja.

    Was ist in .htuser und .user.ini enthalten?
    In ersterer das von mir erzeugte Passwort für den geschützten Zugang zum Backend. In letzterer ein Link zu einem Wordfence WAF.

    Was steht in der .htaccess?
    <IfModule mod_rewrite.c>
    # Wordfence WAF
    # Zugriff verweigern

    Wurden die Dateien in wp-content sorgfälig geprüft?
    Ja. Sie sind alle korrekt und vollständig vorhanden. Themes, Plugins, Bilddateien in der NetgenGallery.

    Was passiert, wenn du das Verzeichnis wp-content/plugins umbenennst?
    Nichts. Frontend und Backend weißes Browserfenster.

    Grüße aus Hamburg

    Thobie

    Moderator Bego Mario Garde

    (@pixolin)

    Was steht in der .htaccess?
    <IfModule mod_rewrite.c>
    # Wordfence WAF
    # Zugriff verweigern

    Du willst doch erst mal die Webseiten wieder ans Laufen bekommen?
    Dann solltest du solche Sachen erst einmal rausnehmen. Wenn’s dann läuft, kannst du damit weitermachen.

    Wurden die Dateien in wp-content sorgfälig geprüft?
    Ja. Sie sind alle korrekt und vollständig vorhanden. Themes, Plugins, Bilddateien in der NetgenGallery.

    Na, hoffentlich auch auf Backdoors geprüft.

    Moin, Bego,

    ich habe eben nochmals alle halbe An-/Abführungszeichen, alle Klämmern und alle Semikolons in der .htaccess überprüft. Da ist alles korrekt.

    Dann habe ich bei meinem Provider nochmals das Passwort für die bestehende Datenbank geändert.

    Keine Änderung. Weiße Browserfenster.

    Grüße aus Hamburg

    Thobie

    Moin, Bego,

    Na, hoffentlich auch auf Backdoors geprüft.

    was sind Backdoors?

    Grüße aus Hamburg

    Thobie

    Moderator Bego Mario Garde

    (@pixolin)

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 26)