Pascal
Verfasste Forenbeiträge
-
Forum: Allgemeine Fragen
Als Antwort auf: In index.php wird automatisch Code geschriebenSchau dir bitte auch die Access Logs an (Analyse Tool).
Um die Seite besser abzusichern, empfehle ich die NinjaFirewall (im Dashboard unbedingt den Full WAF Mode aktivieren, damit die Firewall per auto_prepend_file vor und nicht in der Seite läuft).
Den Login zusätzlich per WPS Hide Login umzubenennen, kann auch nicht schaden.
Die letzten Tage hatte ich bei den bearbeiteten Hacks immer wieder User Logins aus dem fernen Ausland mit Schadcode-Plugin Installation (namens WP-Clean-Plugin). Perfekt getarnt.. 🙂Forum: Allgemeine Fragen
Als Antwort auf: Seiten verseucht mit script; wer hat Ähnliches?Hi,
hast du bei all-inkl Unteraccounts erstellt, um die Seiten voneinander zu isolieren? Das sollte man immer tun.
Die collectfasttracks Script Weiterleitung gibt es häufig im Zusammenhang mit der Duplicator Plugin Sicherheitslücke vom Februar.
Da konnten aus den wp-configs die Datenbank Credentials ausgelesen werden.Hast du sämtliche Datenbank Passwörter abgeändert?
In den all-inkl Datenbank Einstellungen bitte auch sicherstellen, dass der Zugriff nicht von extern erlaubt ist.Gruß
Pascal
Forum: Allgemeine Fragen
Als Antwort auf: Findet Google Malware besser als gängige Sicherheitsscanner?Hi @rreimche,
ich habe auch ständig mit dieser Problematik zu kämpfen und ein paar Hinweise in meinen Blog geschrieben.
Kurz zusammengefasst:
Die Seite (bzw., wie von pixolin erwähnt, der gesamte Webspace) sollte komplett sauber und sicher sein. Schadcode, eingeschleuste Links/Skripte und die Ursache müssen behoben sein.
http://aw-snap.info/file-viewer/ würde ich als Scanner noch empfehlen, Stichwort User-Agent und Referrer.Nach dem Befall sollte eine Neuindexierung in der Search Console angestoßen werden (inkl. Sitemap Einreichung).
Der Google Cache muss vollständig sauber sein.1-2 Tages später kann man Google um eine erneute Überprüfung bitten.
Wenn die sich weiterhin querstellen, kannst du mit ein bisschen Hartnäckigkeit die Eskalation des Falls in die Malware Fachabteilung erwirken. Manchmal hilft nichts anderes.
Der First Level Support hat da ein entsprechendes Formular für.Ich hatte es auch schon, dass die Seiten auf einer Ads internen Blacklist gelandet sind.
Da wurden bei deren Scan dann sämtliche internen Links, auf z.B. simple CSS Dateien, als schädlich eingestuft. Sprich deren angewandter Scan hat sich selbst in den Schwanz gebissen, bildlich ausgedrückt.
Hier hilft es dann nur, wenn dies Fachabteilung den Schalter umlegt und die Sperrung manuell aufhebt.Gruß
Pascal
Forum: Allgemeine Fragen
Als Antwort auf: Hack: Redirect wenn die Seite via Google zum ersten Mal aufgerufen wirdForum: Allgemeine Fragen
Als Antwort auf: Hack: Redirect wenn die Seite via Google zum ersten Mal aufgerufen wird@werbeagenturcommotion
Schau dir2x /wp-content/plugins/js_composer_salient/config/deprecated/shortcode-vc-cta-button.php 200
2x /wp-content/plugins/js_composer_salient/include/classes/shortcodes/vc-column.php 200genauer an.
Backdoor Code wird gern mal hinter dem öffnenden <?php platziert, weit nach rechts aus dem (im Editor) sichtbaren Bereich hinaus.
[14/Mar/2020:07:37:59 +0100] /?action=duplicator_download&file=..%2Fwp-config.php 200
ist ein Versuch über die Duplicator Sicherheitslücke die wp-config auszulesen.P.S.: Die hochgeladenen Logs gehören nicht zu der o.g. Seite – andere Domain.
Forum: Allgemeine Fragen
Als Antwort auf: Hack: Redirect wenn die Seite via Google zum ersten Mal aufgerufen wirdMögliche Backdoor Aufufe kannst du aus den Access Logs herauslesen. Dafür habe ich ein Analyse Tool auf meiner Seite, mit dem man einen guten Überblick bekommt.
Laufen noch weitere Seiten auf dem Webspace?
Das könnte auch das Problem sein – dass die Schadcodes aus einer anderen gehackten Installation „überschwappen“.Bzgl. Security empfehle ich die NinjaFirewall.
Ganz wichtig ist der „Full WAF Mode“. Den kannst du im NinjaFirewall Dashboard aktivieren.Durch den Schutz
„Block direct access to any PHP file located in one of these directories“
kannst du Backdoors (die es in erster Linie natürlich gar nicht geben sollte!)
den Gar aus machen.Aufrufe wie (fiktiv)
https://example.org/wp-content/themes/twentytwenty/backdoor.php
..liefern dann 403 – forbidden.Der Schutz ist wie erwähnt nur im Full Mode verfügbar (sprich wenn die Firewall per .user.ini bzw php.ini vorgesetzt ist – jeder Aufruf da durch muss).
Gruß
Pascal
Forum: Allgemeine Fragen
Als Antwort auf: Seite leitet weiterHi Blume,
das ist eine Variante der Milliardste Google Suche Umleitung. Dieses Symptom greift momentan arg um sich, weil es seit Anfang des Jahres diverse Sicherheitslücken in Plugins gab.
Bei deiner Seite hatte ich es gerade nur am Handy und das 2-3 mal, bis ich die Seite aufrufen konnte.Du kannst bei Hetzner recht einfach Backups (von Dateisystem und Datenbank) wiederherstellen:
https://wiki.hetzner.de/index.php/KonsoleH:BackupGern kann ich über die Logs drüberschauen und dir sagen, wann und wie der Befall stattfand. Dafür gern dieses Tool nutzen. So kannst du direkt das richtige Backup auswählen.
Die Logdateien liegen im Root Verzeichnis /www_logs (siehe Hetzner Wiki).
Oder wenn sich aktuell wenig ander Seite getan hat, nimmst du einfach den ältesten verfügbaren Stand von DB und Dateisystem.Ganz wichtig ist, dass du das Datenbank Passwort direkt nach der Wiederherstellung abänderst (und in der wp-config entsprechend anpasst).
Sehr weitreichend war die Sicherheitslücke im Duplicator Plugin vor wenigen Wochen. Dadurch wurden die Datenbank Verbindungsdaten aus der wp-config.php ausgelesen.
Den Duplicator hast du installiert – in inzwischen aktueller (sicherer) Version. Gut möglich, dass das die Ursache war.Gruß
Pascal
Forum: Allgemeine Fragen
Als Antwort auf: Seite leitet weiterHi Blume,
das ist eine Variante der Milliardste Google Suche Umleitung. Dieses Symptom greift momentan arg um sich, weil es seit Anfang des Jahres diverse Sicherheitslücken in Plugins gab.
Bei deiner Seite hatte ich es gerade nur am Handy und das 2-3 mal, bis ich die Seite aufrufen konnte.Du kannst bei Hetzner recht einfach Backups (von Dateisystem und Datenbank) wiederherstellen:
https://wiki.hetzner.de/index.php/KonsoleH:BackupGern kann ich über die Logs drüberschauen und dir sagen, wann und wie der Befall stattfand. Dafür bitte dieses Tool nutzen. So kannst du direkt das richtige Backup auswählen.
Die Logdateien liegen im Root Verzeichnis /www_logs (siehe Hetzner Wiki).Ganz wichtig ist, dass du das Datenbank Passwort abänderst (und in der wp-config entsprechend anpasst).
Sehr weitreichend war die Sicherheitslücke im Duplicator Plugin vor wenigen Wochen. Dadurch wurden die Datenbank Verbindungsdaten ausgelesen.
Hast du den Duplicator zufällig installiert?Gruß
Pascal
- Diese Antwort wurde vor 6 Jahren, 2 Monaten von Pascal geändert.
- Diese Antwort wurde vor 6 Jahren, 2 Monaten von Pascal geändert.
- Diese Antwort wurde vor 6 Jahren, 2 Monaten von Pascal geändert.
- Diese Antwort wurde vor 6 Jahren, 2 Monaten von Pascal geändert.
- Diese Antwort wurde vor 6 Jahren, 2 Monaten von Bego Mario Garde geändert.
Forum: Allgemeine Fragen
Als Antwort auf: Google lehnt Homepage abSchau dir alle .htaccess Dateien an und prüfe sämtliche Dateien auf Unversehrtheit.
Dafür gibt es verschiedene Scanner. Sucuri, NinjaScanner, Wordfence usw.Oder den aktuellen Stand mit einem Backup vergleichen.
Das Script ist/war dem Domainnamen zufolge dazu vorgesehen Popups auszulösen.
QuelleIrgendwie muss der Googlebot darauf gestoßen sein..
War die Seite mal gehackt in der Vergangenheit?
Gruß
Pascal
Forum: Allgemeine Fragen
Als Antwort auf: Kompletter Inhalt Website verschwunden@eikohoenig nicht zu lange warten – die Backups verfallen ja irgendwann.
Und derzeit gibt es bei Strato des öfteren Probleme mit der SSH Datenbank Backup Wiederherstellung.
Dann müsstest du dich an den Support wenden, wo dann die Rückmeldung auch noch mal 2-3 Tage dauert.Forum: Allgemeine Fragen
Als Antwort auf: Kompletter Inhalt Website verschwunden@eikohoenig An Datenbank Backups kommst du bei Strato per SSH.
Das Dateisystem wird 3-4 Wochen zurück gesichert – die Datenbank 5-6 Wochen zurück.
Hilfe zum Datenbank Restore:
https://www.strato.de/faq/hosting/so-einfach-koennen-sie-per-ssh-auf-ein-backup-ihrer-mysql-datenbank-zugreifen/Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglichDann hast du nen Fehler drin, das kommt bei falschen Zugangsdaten.
Setz das DB Passwort mal neu.Auf korrekten User und korrekte DB achten. Sprich U****** und DB******
Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglichStrato hat das Problem behoben – der DB Backup Export klappt wieder.
Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglichDas Dateisystem (FTP) enthält z.B. die Bilder, Plugin Dateien etc.
Die Datenbank die Inhalte/Texte, Einstellungen.. Alle Seiten – Posts.
Wenn du das Backup von November wiederherstellt, bist du inhaltlich auf diesem Stand.
Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglich@pixolin
Neukundin != neue Seite.
Sie hat sich mit diesem Problem (Seite bereits weg durch Hack) erst an mich gewandt. Das ist mein daily Business.
Nur sind die DB Backups eben (ausgerechnet) jetzt bei Strato nicht per SSH abrufbar, wie auch von @saib0t berichtet.
In der Vergangenheit hatte ich damit nie Probleme.Ein Support Case läuft.
Dit kann dauern.. ^^Ein anderer (Neu!)Kunde ist bei united-domains (alter Tarif).
Die fahren wohl grundsätzlich keine Backups. Da trennt sich die Spreu vom Weizen.