Support » Allgemeine Fragen » Wird meine Seite angegriffen?

  • Hallo,

    vor kurzem bekam ich von meinem Provider eine E-Mail, dass Schadsoftware auf meinem Webspace gefunden wurde. Darauf hin habe ich alle Passwörter geändert und den Webspace (Ordner + Datenbank) komplett gelöscht.

    Anschließend die aktuelle Version von WP komplett neu installiert. Nach ein paar Stunden konnte ich mich nicht mehr einloggen.

    Also kurz in die Datenbank geschaut. Dort wurden vor die user_email Adresse 3-4 zufällige Zeichen geschrieben. Des Weiteren ist das Passwort geändert.

    Ich habe das Ganze nun schon mehrmals auf verschiedenen Rechnern (auch mit welchen außer Haus) durchgespielt. Es ist jedes Mal das gleiche Verhalten. Nach ein paar Stunden/Tagen ist Passwort und E-mail geändert.

    Ich habe mir mal das log des Webservers angesehen. Im Zeitraum in welcher die Änderung statt gefunden haben muss gab es nur ca. 20 Anfragen an den Server.

    Hat evtl. jemand hierfür eine Erklärung?

    • Dieses Thema wurde geändert vor 2 Monaten, 3 Wochen von adiemus84.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 5 Antworten - 16 bis 20 (von insgesamt 20)
  • @kitepascal danke für den wertvollen Hinweis und den mehr als interessanten link. Krass wie kreativ die Hacker geworden sind und welche indirekten Wege genutzt werden um auch langfristig Zugriff zu erhalten.

    Thread-Starter adiemus84

    (@adiemus84)

    Antwort vom Support: Sie kümmern sich drum.

    Ich beobachte mal ob sich was ändert.

    • Diese Antwort wurde geändert vor 2 Monaten, 3 Wochen von adiemus84.
    Thread-Starter adiemus84

    (@adiemus84)

    Hier mal ein Update:

    Ich bekam am Montag die Rückmeldung vom Hoster, dass nichts gefunden wurde.

    Also habe ich darum gebeten das vom Hoster jemand mal WordPress installiert. Soweit so gut. Seit 4 Tagen alles in bester Ordnung.

    Zusätzlich noch Wordfence installiert. Am Freitag wurden dann laut Wordfence 4 Angriffe geblockt.

    In der Zwischenzeit nichts groß gemacht. Logo Hochgeladen, Impressum und Datenschutzerklärung veröffentlicht.

    Heute früh dann kurz eingeloggt. Über Nacht nichts auffälliges vorgekommen.

    Dann innerhalb von 2 Stunden ist es wieder passiert. Zugriff von einer IP aus Hong Kong auf die wp-login.php (POST).

    Laut einer Internet Recherche ist die IP-Adresse als bedenklich einzustufen.

    Zur gleichen Zeit als der erste Zugriff statt fand gab es auch einen POST auf die wp-cron.php. Diese ging vom Hoster aus und fand auch zuvor regelmäßig statt.

    Zur Sicherheit habe ich nochmal meine ganzen Rechner einen Virenscan unterzogen. Auch hier keine Auffälligkeiten.

    Mal schaun wie ich weiter mache.

    Zugriff von einer IP aus Hong Kong

    Damit muss man leider leben. Die einzige Möglichkeit besteht darin, solche IP-Adressen zu sperren, oder besser, ganze IP-Bereiche. Leider ist das aber bei normalen Webspaces selten möglich, da müsste der Hoster aktiv werden, aber ob der das macht?

    Wenn Du der einzige Nutzer (Admin) bist, dann hilft es, wp-login.php mit zusätzlichem Passwortschutz über die .htaccess zu versehen. Und dasselbe mit dem Verzeichnis wp-admin.

Ansicht von 5 Antworten - 16 bis 20 (von insgesamt 20)