Pascal
Verfasste Forenbeiträge
-
Forum: Allgemeine Fragen
Als Antwort auf: Hack: Redirect wenn die Seite via Google zum ersten Mal aufgerufen wirdForum: Allgemeine Fragen
Als Antwort auf: Hack: Redirect wenn die Seite via Google zum ersten Mal aufgerufen wird@werbeagenturcommotion
Schau dir2x /wp-content/plugins/js_composer_salient/config/deprecated/shortcode-vc-cta-button.php 200
2x /wp-content/plugins/js_composer_salient/include/classes/shortcodes/vc-column.php 200genauer an.
Backdoor Code wird gern mal hinter dem öffnenden <?php platziert, weit nach rechts aus dem (im Editor) sichtbaren Bereich hinaus.
[14/Mar/2020:07:37:59 +0100] /?action=duplicator_download&file=..%2Fwp-config.php 200
ist ein Versuch über die Duplicator Sicherheitslücke die wp-config auszulesen.P.S.: Die hochgeladenen Logs gehören nicht zu der o.g. Seite – andere Domain.
Forum: Allgemeine Fragen
Als Antwort auf: Hack: Redirect wenn die Seite via Google zum ersten Mal aufgerufen wirdMögliche Backdoor Aufufe kannst du aus den Access Logs herauslesen. Dafür habe ich ein Analyse Tool auf meiner Seite, mit dem man einen guten Überblick bekommt.
Laufen noch weitere Seiten auf dem Webspace?
Das könnte auch das Problem sein – dass die Schadcodes aus einer anderen gehackten Installation „überschwappen“.Bzgl. Security empfehle ich die NinjaFirewall.
Ganz wichtig ist der „Full WAF Mode“. Den kannst du im NinjaFirewall Dashboard aktivieren.Durch den Schutz
„Block direct access to any PHP file located in one of these directories“
kannst du Backdoors (die es in erster Linie natürlich gar nicht geben sollte!)
den Gar aus machen.Aufrufe wie (fiktiv)
https://example.org/wp-content/themes/twentytwenty/backdoor.php
..liefern dann 403 – forbidden.Der Schutz ist wie erwähnt nur im Full Mode verfügbar (sprich wenn die Firewall per .user.ini bzw php.ini vorgesetzt ist – jeder Aufruf da durch muss).
Gruß
Pascal
Forum: Allgemeine Fragen
Als Antwort auf: Seite leitet weiterHi Blume,
das ist eine Variante der Milliardste Google Suche Umleitung. Dieses Symptom greift momentan arg um sich, weil es seit Anfang des Jahres diverse Sicherheitslücken in Plugins gab.
Bei deiner Seite hatte ich es gerade nur am Handy und das 2-3 mal, bis ich die Seite aufrufen konnte.Du kannst bei Hetzner recht einfach Backups (von Dateisystem und Datenbank) wiederherstellen:
https://wiki.hetzner.de/index.php/KonsoleH:BackupGern kann ich über die Logs drüberschauen und dir sagen, wann und wie der Befall stattfand. Dafür gern dieses Tool nutzen. So kannst du direkt das richtige Backup auswählen.
Die Logdateien liegen im Root Verzeichnis /www_logs (siehe Hetzner Wiki).
Oder wenn sich aktuell wenig ander Seite getan hat, nimmst du einfach den ältesten verfügbaren Stand von DB und Dateisystem.Ganz wichtig ist, dass du das Datenbank Passwort direkt nach der Wiederherstellung abänderst (und in der wp-config entsprechend anpasst).
Sehr weitreichend war die Sicherheitslücke im Duplicator Plugin vor wenigen Wochen. Dadurch wurden die Datenbank Verbindungsdaten aus der wp-config.php ausgelesen.
Den Duplicator hast du installiert – in inzwischen aktueller (sicherer) Version. Gut möglich, dass das die Ursache war.Gruß
Pascal
Forum: Allgemeine Fragen
Als Antwort auf: Seite leitet weiterHi Blume,
das ist eine Variante der Milliardste Google Suche Umleitung. Dieses Symptom greift momentan arg um sich, weil es seit Anfang des Jahres diverse Sicherheitslücken in Plugins gab.
Bei deiner Seite hatte ich es gerade nur am Handy und das 2-3 mal, bis ich die Seite aufrufen konnte.Du kannst bei Hetzner recht einfach Backups (von Dateisystem und Datenbank) wiederherstellen:
https://wiki.hetzner.de/index.php/KonsoleH:BackupGern kann ich über die Logs drüberschauen und dir sagen, wann und wie der Befall stattfand. Dafür bitte dieses Tool nutzen. So kannst du direkt das richtige Backup auswählen.
Die Logdateien liegen im Root Verzeichnis /www_logs (siehe Hetzner Wiki).Ganz wichtig ist, dass du das Datenbank Passwort abänderst (und in der wp-config entsprechend anpasst).
Sehr weitreichend war die Sicherheitslücke im Duplicator Plugin vor wenigen Wochen. Dadurch wurden die Datenbank Verbindungsdaten ausgelesen.
Hast du den Duplicator zufällig installiert?Gruß
Pascal
- Diese Antwort wurde vor 5 Jahren von Pascal geändert.
- Diese Antwort wurde vor 5 Jahren von Pascal geändert.
- Diese Antwort wurde vor 5 Jahren von Pascal geändert.
- Diese Antwort wurde vor 5 Jahren von Pascal geändert.
- Diese Antwort wurde vor 5 Jahren von Bego Mario Garde geändert.
Forum: Allgemeine Fragen
Als Antwort auf: Google lehnt Homepage abSchau dir alle .htaccess Dateien an und prüfe sämtliche Dateien auf Unversehrtheit.
Dafür gibt es verschiedene Scanner. Sucuri, NinjaScanner, Wordfence usw.Oder den aktuellen Stand mit einem Backup vergleichen.
Das Script ist/war dem Domainnamen zufolge dazu vorgesehen Popups auszulösen.
QuelleIrgendwie muss der Googlebot darauf gestoßen sein..
War die Seite mal gehackt in der Vergangenheit?
Gruß
Pascal
Forum: Allgemeine Fragen
Als Antwort auf: Kompletter Inhalt Website verschwunden@eikohoenig nicht zu lange warten – die Backups verfallen ja irgendwann.
Und derzeit gibt es bei Strato des öfteren Probleme mit der SSH Datenbank Backup Wiederherstellung.
Dann müsstest du dich an den Support wenden, wo dann die Rückmeldung auch noch mal 2-3 Tage dauert.Forum: Allgemeine Fragen
Als Antwort auf: Kompletter Inhalt Website verschwunden@eikohoenig An Datenbank Backups kommst du bei Strato per SSH.
Das Dateisystem wird 3-4 Wochen zurück gesichert – die Datenbank 5-6 Wochen zurück.
Hilfe zum Datenbank Restore:
https://www.strato.de/faq/hosting/so-einfach-koennen-sie-per-ssh-auf-ein-backup-ihrer-mysql-datenbank-zugreifen/Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglichDann hast du nen Fehler drin, das kommt bei falschen Zugangsdaten.
Setz das DB Passwort mal neu.Auf korrekten User und korrekte DB achten. Sprich U****** und DB******
Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglichStrato hat das Problem behoben – der DB Backup Export klappt wieder.
Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglichDas Dateisystem (FTP) enthält z.B. die Bilder, Plugin Dateien etc.
Die Datenbank die Inhalte/Texte, Einstellungen.. Alle Seiten – Posts.
Wenn du das Backup von November wiederherstellt, bist du inhaltlich auf diesem Stand.
Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglich@pixolin
Neukundin != neue Seite.
Sie hat sich mit diesem Problem (Seite bereits weg durch Hack) erst an mich gewandt. Das ist mein daily Business.
Nur sind die DB Backups eben (ausgerechnet) jetzt bei Strato nicht per SSH abrufbar, wie auch von @saib0t berichtet.
In der Vergangenheit hatte ich damit nie Probleme.Ein Support Case läuft.
Dit kann dauern.. ^^Ein anderer (Neu!)Kunde ist bei united-domains (alter Tarif).
Die fahren wohl grundsätzlich keine Backups. Da trennt sich die Spreu vom Weizen.Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglich@hage In dem Fall (Neukundin) hat nur Strato Backups. Auf die aktuell leider nicht zugegriffen werden kann.
Klar – solche Hack-Wellen machen umso deutlicher, wie wichtig es ist eigene Backups zu haben.
Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglichNein. Ich werde es zwischendurch immer mal wieder versuchen und hoffe, dass Strato sich schnell dazu zurückmeldet.
- Diese Antwort wurde vor 5 Jahren, 1 Monat von Pascal geändert.
Forum: Allgemeine Fragen
Als Antwort auf: Gehackt? Seite zurückgesetzt & Login nicht mehr möglich@saib0t ja, das Problem hatte ich heute auch bei einer Kundin.
Got error: 2013: Lost connection to MySQL server at ‚reading initial communication packet‘, system error: 0
..beim Export Versuch. Gleicher Fehler bei dir?
Berichte mal, wenn es sich wie gelöst hat.
Natürlich konnte man mir telefonisch nicht helfen und ich sollte eine Mail schreiben..- Diese Antwort wurde vor 5 Jahren, 1 Monat von Pascal geändert.