crash007

Ja, mein lieber, du hast in allen Belangen Recht. Man lernt daraus. 2-Faktor habe ich installiert. Man ist immer der Meinung, es trifft nur andere 🙂 Ich hätte letztes Jahr, als ich die Seite übernommen hatte, kpl. neu aufsetzen sollen. Es darf aber nichts kosten.

Es ist nicht so, dass da ein Mensch mit Hoodie zwischen Pizza-Schachteln und Cola-Flaschen sitzt und sich überlegt, wann der Angriff auf deine Website wohl zeitlich am besten passt. Statt dessen crawlen Server ähnlich wie Suchmaschinen Webseiten und untersuchen sie mit automatisierten Skripten nach allen möglichen Schwachstellen, um dann Schadcode zu infizieren und so allen möglichen Schabernack (wahlweise auch kriminelle Handlungen) zu treiben.

Auch das ist bekannt 🙂 Erstaunlich aber, dass es mittlerweile schon 17000 Treffer bei Google gibt. Vielleicht war doch einem langweilig, der Heiligabend den Knopf drückte :)).
Danke für deine Mühe. Ich bleibe dran.
Werde

Aber mit WinSCP geht es:

Connect zum Server
Verzeichnis auswählen
Commands/Open Terminal im Menu auswählen
grep-Befehl eingeben

testen.
PS: Vielleicht hört man ja noch mehr über diese Domain!?
So Long Markus

Hallo Leute,
ich habe das Ganze soweit im Griff. Sorry dafür, dass ich mich technisch nicht ganz so ausdrücken kann wie ihr.
Noch mal kurz zu Hintergründen. Das script wurde bereits im Mai 2019 eingeschleust und hat Bilder/Medien in den Uploads angegegriffen. Hat hier ein Script in den Beschreibungen eingebaut. Meistens bei denen, die nicht verwendet wurden.
Habe alle Bilddateien gelöscht. Hatt wie bereits beschrieben, auch schon wordfence installiert. Die scripts in den 3 Seiten sind auch enfernt. Dieses (<script src=’https://https://%5Burl gelöscht]/js.php?s=q‘ type=’text/javascript‘></script>. Jetzt meldet mir wordfence Content Safety aber noch 2 Page contains a suspected malware URL: Immobilien Frankfurt
Type: URL „Details: This page contains a URL that is currently listed on Wordfence’s domain blocklist. The URL is: http://[URL gelöscht]/js.php.
Das Problem trat beii mir am 28.12.20 auf. Ich hatte Goggle nach „[URL gelöscht]“ befragt – da hatte ich 4 Treffer. Heute habe ich über 13600. Jeder Treffer führt zu einer infizierten Seite. Hier spielt auch das Plugin „WP_Sleeps“ eine Rolle, welches eingeschleust wurde. Bei einigen Seiten ist auch die Datenbank platt. Der Zeitpunkt für den Angriff war sicherlich sehr geschickt gewählt, wo viele nicht arbeiten. Mein Glück, im Unglück war vermutlich, dass ich gearbeitet hatte und rechtzeitig reagieren konnte. Habe die Seite jetzt dicht gemacht. Trotzdem habe ich noch das Problem mit der „Content Safety“ Meldung.
Ich versuche dran zu bleiben. Vielleicht hat ja noch hier einer eine Idee? Ach…noch vergessen…laut antivirus ist die Seite clean.
LG Markus

—
Moderationshinweis: URL der Malware gelöscht.

• Diese Antwort wurde geändert vor 3 Jahren, 3 Monaten von crash007.
• Diese Antwort wurde geändert vor 3 Jahren, 3 Monaten von Bego Mario Garde. Grund: URL der Malware gelöscht

Ja danke, hatte ich auch schon alles recherchiert. Wie gesagt, die Website ist wieder da, leider halt nicht mit den ganzen letzten Optimierungen. Du hattest mir aber schon mit Deinen Hinweisen und Links geholfen.
Ich werde die Seite jetzt mit kleinen Zeitfenstern ON schalten und die Plugins prüfen und wieder OFF schalten, damit nichts anbrennt. An Passwortsicherheiten usw. kann es nicht liegen. Die Tür muss von anderer Seite her geöffnet sein.
Wie schon gesagt – es mir wichtig, die Info zu veröffentlichen, dass „wp sleeps“ eingeschleust wird und es ggf. anderen hilft, wenn die recherchieren. Ich hatte das Schlagwort hier nicht gefunden.
Ich schließe das jetzt – ERLEDIGT!
Danke nochmal!

So, liebe Leser,
ich hab’s.
Obwohl ich, nein wir, das Problem vermutlich gelöst haben, gibt’s ein kleineres bis größeres Problem.
Es liegt am „WP Immo Manager“. Ist natürlich sehr unglücklich, da Immobilien im Focus stehen :). Hier sollten über Schnittstelle Maklersoftware die Objekte synchronisiert werden. Habe jetzt auch gesehen, dass das PlugIn für die aktuelle WP Version nicht getestet ist. Echt doof.
Vielen Dank noch mal für die schnellen Feedbacks!
VG Markus
PS: Ich weiß, dass ihr keine PlugIn Beratung machen könnt – vielleicht hat jemand eine Alternative!?