Support » Allgemeine Fragen » wp_users – unbekannte Einträge

  • Gelöst Wolle

    (@wollyp)


    Ich habe meine Seite wg. Virenbefalls zurücksetzen müssen. Backups wurden eingespielt. Die Seite läuft wieder. Danach habe ich gleich mit Updraftplus ein neues Backup erstellt. Sonst habe ich nichts gemacht. Als ich mir die aktuellen Verzeichnisse per FTP auf meinen Rechner gezogen habe, bekam ich vom Windows-Defender ein Virusalarm (Backdoor:PHP/WebShell!MSR). Eine verseuchte PHP-Datei im Uploads-Ordner (wp-content/uploads). Somit hatte ich mein Plugin Updraftplus in Verdacht und gleich auch den kompletten updraftplus ordner in wp-content/plugins gelöscht. Dann hatte ich erst mal Ruhe. Kann es sein, dass ein Plugin verseucht ist?

    Auf jeden Fall habe ich dann auch mal in die Datenbank geschaut. Eigentlich darf/kann es nur mich selbst als user geben. Es befinden sich aber zwei weitere, sehr krypische User-Einträge in der Datenbank. Ich traue mich nicht, diese beiden zu löschen. Kann es sein, dass diese durch ein Theme oder Plugin gesetzt werden und ich mir durch das Löschen etwas zerschiessen kann? Diese Sorge habe ich! Hat jemand einen Rat für mich?

    (Achja, ich setze nur freie Software ein: oceanwp, elementorfree)

    DANKE

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 25)
  • Seite wg. Virenbefalls zurücksetzen

    hier ist mal meine erste Frage: Wie intensiv, was alles blieb von der vorigen Installation übrig?
    Meist wird (verständlicherweise) der Ordner /uploads unberührt gelassen, der Rest gelöscht uns v.a. der WP Kern neu instaliert.
    Und im /upload kann sich noch viel verstecken …

    Eine verseuchte PHP-Datei im Uploads-Ordner (wp-content/uploads).

    aha …

    Updraftplus in Verdacht

    Wenn die Datei schon im Backup war, kann das Plugin nix für.

    Kann es sein, dass ein Plugin verseucht ist?

    Leider ja. Doch in dem Fall glaube ich eher nicht, dass es Updraftplus ist.

    zwei weitere, sehr krypische User-Einträge in der Datenbank.

    Oje. Und sind die auch im WP-Adminbereich > Benutzer? Welche Rolle haben die? Admin?
    Wenn du, oder andere Berechtigte die sicher nicht angelegt haben und wenn es keine, per Registrierung hereingelassenen Nutzer sind, sind die zu löschen!
    (Zumindest ich kenne kein Plugin oder so, welches einen Nutzer anlegt.)

    Wenn eh ein Backup vorliegt (ja, auch wenn da wahrscheinlich die eine oder andere Schadcode-Datei drin ist), dann lösche die ungebetenen Nutzer mal.

    Das ist nur mal eine erste Meinung dazu, die prof. WP Leute kommen hoffentlich noch vorbei.

    Hallo,

    Somit hatte ich mein Plugin Updraftplus in Verdacht und gleich auch den kompletten updraftplus ordner in wp-content/plugins gelöscht. Dann hatte ich erst mal Ruhe. Kann es sein, dass ein Plugin verseucht ist?

    Das Plugin UpdraftPlus ist sicher nicht „verseucht“. Ob evtl. aber infizierte Dateien in dem Plugin-Ordner sind, könnte eine Möglichkeit sein, die wir hier aber nicht prüfen können.

    Es befinden sich aber zwei weitere, sehr krypische User-Einträge in der Datenbank.

    Und ich gehe davon aus, dass diese User nicht unter „Benutzer“ auftauchen? – Das könnte evtl. auf eine Backdoor hinweisen. Aber auch das können wir hier mit Sicherheit nicht sagen. Du kannst natürlich mal versuchen (selbstverständlich nach einer Sicherung der Datenbank), diese User zu löschen. Notfalls muss die Datenbank wiederhergestellt werden. Bei UpdraftPlus kannst du auch z. B. bestimmte Tabellen wiederherstellen (z. B. User).

    Viele Grüße
    Hans-Gerd

    ich gehe davon aus, dass diese User nicht unter „Benutzer“ auftauchen?

    daher meine diesbezügliche Frage.

    Nur: Wie machen die das mit dem verstecken eigentlich?

    Denn ich gehöre zu jenen, die täglich nebst dem Blick auf Updates auch zu Benutzer schaut, ob da alles okay ist. (Einmal waren bei einem Bekannten 2 ungebetene Admins drin, die aber wohl sichtbar.)

    Thread-Starter Wolle

    (@wollyp)

    Daran habe ich noch garnicht gedacht. Die User werden auch im Dashboard angezeigt und sind tatsächlich Admins. Einen habe ich schon gelöscht, aber beim zweiten kommt vor dem Löschen die Auswahl „den gesamten Inhalt löschen“ oder „Diesem Benutzer den gesamten Inhalt zuordnen“ und dieser Benutzer bin ich.
    Ich habe aber Angst, dass ich dabei meine Seite zerschieße. Allerdings steht bei dem Benutzer „Beiträge 0“
    Kann ich ihn gefahrlos löschen, also Auswahl 1?

    Thread-Starter Wolle

    (@wollyp)

    Noch mal zu Updraftplus. Es ist nur auffällig, dass sich diese neuen Admins genau zu der Uhrzeit eingetragen haben, als ich das Updraftplus-Backup angestoßen hatte. Zufall?

    Wir sitzen ja nicht vor deinem Backend und insofern ist das eine Entscheidung, die du leider selbst treffen musst.
    Aus meiner Sicht sollte das aber unproblematisch sein, wenn du die Auswahl „Diesem Benutzer den gesamten Inhalt zuordnen“ triffst, wobei das vermutlich keine Änderungen ergeben wird, weil der Benutzer ja offensichtlich keine Beiträge hat.

    Vorher aber bitte die Datenbank sichern.

    Aber die Sache mit den beiden Admins, die du offensichtlich nicht angelegt hast, ist schon eher problematisch und könnte auf eine Backdoor hinweisen (aber darauf hatte ich ja eigentlich schon hingewiesen).

    Es ist nur auffällig, dass sich diese neuen Admins genau zu der Uhrzeit eingetragen haben, als ich das Updraftplus-Backup angestoßen hatte. Zufall?

    Dann würde ich vermuten, dass bereits dieses Backup Dateien mit Schadcode enthält.
    In dem Fall könntest du z. B. ein älteres Backup wiederherstellen.

    Thread-Starter Wolle

    (@wollyp)

    • 2. Admin auch gelöscht. Seite läuft noch.
    • Ich hatte schon das älteste Backup eingespielt.
    • Hatte vorher schon NinjaFirewall installiert und die meldet mir nun jede Admin-Änderung. Das hat sie bei meinen beiden Löschungen auch getan!

    Uhrzeit … als ich das Updraftplus-Backup angestoßen hatte

    Was meinst genau?
    1. Das Backup gestartet?
    oder
    2. Das Backup wieder zurückgespielt?
    Zu welchen dieser Zeitpunkte kamen die ungebetenen Admins rein?
    Bei 1 wäre es echt ein komischer Zufall;
    Bei 2 war eben der Code, welcher diese Nutzer in die DB einträgt, wie mehrmals vermutet schon in einem Backup gewesen.
    Bloß warum zeigten die sich nicht schon früher? Vllt. verhinderte die Ninja FW (oder ein anderes Sicherheitstool) das?

    Thread-Starter Wolle

    (@wollyp)

    Nein, das eingespielte Backup war virenfrei.
    – Sofort nach dem neuen Aufsetzen habe ich ein Updraftplus-Backup angestoßen. Dann kamen die neuen Admins rein. Ob zur selben Sekunde/Minute kann ich nicht sagen. Auf jeden Fall sprang mein Windows10-Virenscanner (Microsoft Defender) an, als ich das Backup per FTP auf meine Festplatte geholt habe. ………..Zufall?
    (Momanten traue ich Updraftplus nicht mehr und warte besser auf eine neuere Version.)

    Ich setze UpdraftPlus auf sehr vielen WordPress-Instanzen ein. Keine Probleme in der beschriebenen Form.

    Thread-Starter Wolle

    (@wollyp)

    Dann bist du doch bestimmt UpdraftPlus-Spezialist oder!?
    Das kostenlose UpdraftPlus einzusetzen ist das eine, aber die Wiederherstellung ist letztlich entscheidend. Das habe ich nun schmerzhaft feststellen müssen. Wenn man keinen Zugriff mehr auf seine Seite hat, kann man mit seinen Updraftplus-Sicherungen nämlich keine Domain wiederherstellen bzw. keine neue Domain einrichten. Dafür muss man vorher das zusätzlich das Migrations-Addon ($58,31 jährlich) erworben haben.
    https://updraftplus.com/faqs/can-i-use-updraftplus-to-migrate-a-site-to-a-different-address/

    Da ich für die Seite keine laufenden Kosten verursachen darf, werde ich wohl nach einem anderen Plugin suchen müssen!

    Hallo,

    Dann bist du doch bestimmt UpdraftPlus-Spezialist oder!?

    naja, wer ist schon Spezialist. 😉

    Aber klar kannst du eine Sicherung mit UpdraftPlus komplett wiederherstellen.
    Eine Möglichkeit hat Bego wie folgt beschrieben:

    Backups unter wp-content/updraft herunterladen, alles löschen, WordPress neu installieren, Updraftplus installieren, Backups in WordPress unter Einstellungen > Updraftplus hochladen, Backup wiederherstellen.

    Quelle: https://de.wordpress.org/support/topic/rest-api-php-und-template-php/#post-148336

    Etwas umfangreicher habe ich das in dem folgenden Beitrag beschrieben.

    Viele Grüße
    Hans-Gerd

    • Diese Antwort wurde geändert vor 7 Monaten, 1 Woche von Hans-Gerd Gerhards. Grund: Korrektur Erläuterung

    Ich habe viele Backup-Plugins getestet und schließlich bei „BackWPup“ geblieben.
    Ja, auch da geht das komfortable Wiederherstellen nur mit der Pro (59 €), doch das kann man auch einfach manuell per phpmyadmin machen, dann reicht die Free.

    Doch das dein Problem an UpdraftPlus liegt, kann ich nicht glauben. Auch wenn ich damit nie zurechtkam, und auch wenn es mehr Sicherheitsprobleme hat als das oben genannte.

    Thread-Starter Wolle

    (@wollyp)

    Ich habe viele Backup-Plugins getestet und schließlich bei „BackWPup“ geblieben.
    Ja, auch da geht das komfortable Wiederherstellen nur mit der Pro (59 €), doch das kann man auch einfach manuell per phpmyadmin machen, dann reicht die Free.

    Was meinst du mit „manuell per phpmyadmin“ machen? Die Datenbank beim Provider mit phpmyadmin kopieren/anpassen? Sorry, bin Anfänger!

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 25)
  • Das Thema „wp_users – unbekannte Einträge“ ist für neue Antworten geschlossen.