• Anonymous User 20515747

    (@anonymized-20515747)


    Hallo,

    vor kurzem bekam ich von meinem Provider eine E-Mail, dass Schadsoftware auf meinem Webspace gefunden wurde. Darauf hin habe ich alle Passwörter geändert und den Webspace (Ordner + Datenbank) komplett gelöscht.

    Anschließend die aktuelle Version von WP komplett neu installiert. Nach ein paar Stunden konnte ich mich nicht mehr einloggen.

    Also kurz in die Datenbank geschaut. Dort wurden vor die user_email Adresse 3-4 zufällige Zeichen geschrieben. Des Weiteren ist das Passwort geändert.

    Ich habe das Ganze nun schon mehrmals auf verschiedenen Rechnern (auch mit welchen außer Haus) durchgespielt. Es ist jedes Mal das gleiche Verhalten. Nach ein paar Stunden/Tagen ist Passwort und E-mail geändert.

    Ich habe mir mal das log des Webservers angesehen. Im Zeitraum in welcher die Änderung statt gefunden haben muss gab es nur ca. 20 Anfragen an den Server.

    Hat evtl. jemand hierfür eine Erklärung?

    • Dieses Thema wurde geändert vor 2 Jahren, 2 Monaten von Anonymous User 20515747.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 20)
  • Moderator Michi91

    (@michi91)

    Was für Plugins verwendest du? Und welches Theme? Liegen auf dem Webspace weitere Websites?

    Du schreibst viel, aber wichtige Dinge hast du leider ausgelassen.

    Anschließend die aktuelle Version von WP komplett neu installiert.

    Inkl. der von dir benutzen Plugins? Seiten komplett neu aufgebaut oder Backup eingespielt?

    Bevor du ein neues Thema/Thread erstellst

    Im Zeitraum in welcher die Änderung statt gefunden haben muss gab es nur ca. 20 Anfragen an den Server.

    Eine reicht schon.

    Thread-Starter Anonymous User 20515747

    (@anonymized-20515747)

    Das verhalten tritt sowohl auf wenn keine Plugins installiert sind als auch mit folgenden: Limit Login Attempts Reloaded, BackWPUp, WPSHideLogin.

    Als Theme verwende ich TwentyTwentyTwo. Weitere Websiten sind nicht drauf.

    Thread-Starter Anonymous User 20515747

    (@anonymized-20515747)

    Die Seite wurde komplett neu aufgebaut. Also kein Backup zurückgespielt.

    Es ist alles auf dem neuesten Stand. Sowohl WordPress als auch die Plugins und Themes.

    Das verhalten tritt sowohl auf wenn keine Plugins installiert sind als auch mit

    Als Theme verwende ich TwentyTwentyTwo

    Die Seite wurde komplett neu aufgebaut. Also kein Backup zurückgespielt.

    Puuh, das ist dann doch sehr kurios.

    den Webspace (Ordner + Datenbank) komplett gelöscht.

    100% sicher? Gibt es versteckte Dateien, die dein FTP-Programm nicht anzeigt? Zur Not muss dein Hoster mal draufsehen.

    Thread-Starter Anonymous User 20515747

    (@anonymized-20515747)

    Ich bin mir da zu 110% sicher. Habe das ganze von 2 verschiedenen Rechnern aus mit 2 verschiedenen FTP-Programmen kontrolliert.

    Zusätzlich noch die Datenbank gelöscht. Nicht nur die Tabellen.

    Mit einem nackten WordPress kann ich mir das echt nicht vorstellen. Ich befürchte, hier können wir dir nicht weiterhelfen, aber vielleicht hat noch jemand eine Idee. Ansonsten, wie erwähnt, muss dein Hoster mal draufsehen.

    Moderator Michi91

    (@michi91)

    Du schreibst du hast Passwörter geändert. Die vom Hoster webinterface und von den ftp Zugängen?

    Ich hätte als nächstes die/den PC im Verdacht… Eventuell scan mit Malwarebytes durchführen.

    Genau das gleiche Phänomen hatte ich letzte Woche bei mehreren Kunden.

    Das sind auf dem Server laufende Prozesse, die 1x gestartet (über Tage hinweg) immer weiter Schindluder treiben und nur vom Hoster/Serveradmin gekillt werden können.
    Siehe auch sucuri Artikel – Malicious server processes.

    Bisher kannte ich es nur von Dateien, die immer wieder neu geschrieben werden.
    Ich vermute hier wird dann fortlaufend die wp-config ausgelesen und in der Datenbank werden Usermail + Password geändert. Denn die Änderung des Datenbank Passworts hilft nur so lange, bis es in der wp-config.php wieder stimmt.

    Abhilfe: Benenne das Hauptverzeichnis um (das Verzeichnis, wo sich die Site zuvor drin befunden hat, sprich wo die Domain draufzeigt)
    Z.B.:
    vorher: /html/wordpress
    nachher: /html/wordpress-6
    Das Datenbank Passwort noch mal neu setzen und dann solltest du Ruhe haben.
    Zusätzlich den Hoster ggf. bitten alle PHP Prozesse zu killen.

    Um sichererer unterwegs zu sein, kannst du z.B. die NinjaFirewall installieren (Anleitung)

    Du erhälst Mail-Benachrichtigungen darüber, wenn wie in diesem Fall Admin User verändert werden oder wenn es ausstehende Plugin Sicherheitsupdates gibt.

    Thread-Starter Anonymous User 20515747

    (@anonymized-20515747)

    Du schreibst du hast Passwörter geändert. Die vom Hoster webinterface und von den ftp Zugängen?

    Ja, habe wirklich alle geändert. Vom Webinterface über Datenbank, FTP und Mail.

    Ich hätte als nächstes die/den PC im Verdacht… Eventuell scan mit Malwarebytes durchführen.

    Hatte ich auch schon in Verdacht. Habe das ganze dann von einem anderen Rechner mit anderem Betriebssystem und vom PC eines Bekannten gemacht. Hat aber leider auch nicht geholfen.

    Thread-Starter Anonymous User 20515747

    (@anonymized-20515747)

    Das sind auf dem Server laufende Prozesse, die 1x gestartet (über Tage hinweg) immer weiter Schindluder treiben und nur vom Hoster/Serveradmin gekillt werden können.

    Dann ist der Server meines Hosters also kompromittiert?

    Dann ist der Server meines Hosters also kompromittiert?

    Wäre nicht unmöglich. Laut der Beschreibung von @kitepascal sogar sehr wahrscheinlich.

    Thread-Starter Anonymous User 20515747

    (@anonymized-20515747)

    Okay. Erst mal Danke an alle für die Unterstützung. Ich werde am Montag dann mal ein Telefonat führen.

    Ich würde heute noch anrufen. Wäre für den Hoster ja auch nicht ganz unwichtig 😉

    Thread-Starter Anonymous User 20515747

    (@anonymized-20515747)

    Stimmt. Er ist ja auch Sonntags erreichbar.

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 20)
  • Das Thema „Wird meine Seite angegriffen?“ ist für neue Antworten geschlossen.