Hab es gefunden. Wird wohl der Hauptpfad sein - > (mit Unterordnern) /kunden/xxxxx_xxxxx/ Immer wieder lustig zu sehen, was passiert, wenn man nicht das aktuellste Wordpress aufspielt. Derweil hatte ich das Ding eigentlich nur als Testpage laufen.

Welche Version von Wordpress war das denn? Sofern da hin- und wieder das Wordpress-Script durch Besucher angestoßen wird, gibt es doch automatische Updates bei Wordpress.

Hallo Chrisitan P.

passt jetzt alles? Ich habe eben kurz probiert, bei mir wird / genommen. Es ist technisch gesehen zwar völlig richtig was Sie schreiben mit /kunden/xxxxx_xxxxx/, macht es für nicht so versierte Kunden aber schwer. Daher wäre es nett, wenn Sie einen Screenshot der Fehlermeldung bzw. der Seite machen könnten, falls es reproduzierbar ist. Dann würde ich dem gerne nachgehen wollen.

Mit freundlichen Grüßen

Nils Dornblut

Die Angabe von / funktioniert. Ich hatte am Anfang eine Fehlermeldung, die ich irrtümlicherweise auf den Pfad zurückführte.

Bei dem Hack handelt es sich vermutlich um diesen hier.



Dabei platziert der Angreifer überall in sämtlichen Verzeichnissen Mod-Rewrites per .htaccess, die dann unter anderem auf diese Seite führen.



Was da noch alles modifiziert wurde, kann ich nicht sagen. Ich habe sowohl das Webverzeichnis als auch die Datenbanken lokal gesichert und danach online vollständig gelöscht.

Sobald domainFactory das Backup herstellt, sperre ich den Zugriff und entferne danach die Wordpress-Installation.

Es handelte sich um eine ältere Installation, die ich irgendwo auf einem parallelen Pfad hatte und nur für Testzwecke vor Monaten installiert hatte.

Wie genau der Hacker von der Installation Wind bekam, weiß ich nicht.

Okay, danke für die Rückmeldung.

Mit freundlichen Grüßen

Nils Dornblut

Wie gesagt. Es handelte sich um eine alte Wordpress-Installation, die von einer privaten Subdomain erreichbar war. Da es sich nur um eine Testinstallation handelte, wurde die Seite natürlich nicht besucht. Irgendwie hat der Angreifer diese Subdomain gefunden.

Keine Ahnung, wie er das geschafft hat, weil es eigentlich eine private Adresse war, die nur 2 Personen kennen.

Natürlich hatte ich keine Quota dafür eingerichtet, so dass der Angreifer mir den ganzen Webspace verseuchen konnte.

Soweit ich nun die gehackte Seite mit der sauberen vergleichen konnte, hat der Angreifer neben jeder Menge Mod-Rewrites auch verschlüsselte PHP-Dateien hinterlegt.

In jedem Verzeichnis wurden index.php-Dateien hinterlegt oder modifiziert, mit folgendem Header

Der String ist absichtlich teilweise escaped, so dass er nicht richtig lesbar ist.

Dekodiert führt er aber in ein Unterverzeichnis, in dem als ***.ico Datei der Trojaner Backdoor:PHP/CryptInject.YA hinterlegt wurde.

Der ganze PHP-Code ist per Obfuscater unlesbar gemacht.

Im Prinzip ist das der bekannte Wordpress-Hack.



Das war das letzte Mal, dass ich Wordpress benutze. Diese Software ist ein Virenmagnet sondergleichen!

Hallo Christan P.,

danke noch für die umfangreichen Ausführungen. Leider ist gerade Wordpress sehr beliebt, weil es vergleichsweise hohe Installationen gibt.

Mit freundlichen Grüßen

Nils Dornblut

Wie Nils schon sagte: Wenn eine Software viel genutzt wird, dann konzentrieren sich auch Angreifer eher darauf. Ähnliches Thema wie bei Betriebssystemen.

Man sollte da auch schon fair sein und zugeben selbst sehr fahrlässig gehandelt zu haben: Keine Quota, keine aktuelle Version und offenbar auch kein Basic- oder Digest-Auth.
Eine Subdomain, die "keiner kennt" ist nun mal kein wirklicher Schutz.

Klar war das offensichtlich fahrlässig.

Aber ein CMS, das permanent durch schwere Sicherheitslücken in Erscheinung tritt, ist für die Mülltonne!

Es waren keine Addons installiert. Die Version war nur einige Monate alt und prompt kann ein Hacker das komplette System übernehmen.

Da kannst du sagen was du willst, aber Wordpress hat ein ernsthaftes Problem mit der Sicherheit.

Klar, WP ist leider so gewachsen dass an vieles nicht gedacht wurde. Nicht nur was die Security angeht, sondern eher die Funktionen.
Es gibt auch durchaus besser durchdachte CMS die aber bei dF leider teils auch nicht mehr rund laufen. (Siehe den Contao-Thread)

Über "nur" lässt sich aber wieder streiten. Eine funktionierende Installation aktualisiert sich innerhalb der Hauptversionen eigentlich automatisch.
Wenn man so wenig Besucher hat, dass der WP-Cron nicht anschlägt sollte man aber auch überlegen ob überhaupt ein dynamisches CMS notwenig ist oder ob eine Static-Site-Generator nicht reicht.
Ansonsten könnte man die Installation natürlich auch über MainWP oder so anbinden. Das checkt dann regelmäßig und löst je nach Einstellung auch direkt ein Update aus.

Na ja, eine WordPress-Testinstallation durch einen Generator für statische Seiten zu ersetzen, erscheint mir jetzt auch nicht wirklich praktikabel...

Auch bei mir flogen bis zum Umzug noch ein paar alte Testinstallationen diverser Systeme herum. Allerdings durch Passwortschutz abgesichert (.htaccess / Basic Auth) und jeweils in einer eigenen Quota - sonst wäre mir das zu heikel gewesen.

Gruß
Jan

Übrigens ist der Restore wirklich toll, was die MySQL-Datenbanken anbelangt.

Im Formular steht:

MySQL-Datenbank, die wiederhergestellt werden soll:

Was genau trägt man hier bitte ein, wenn mehr als eine DB hergestellt werden soll?

Ich habe leider das Falsche eingetragen und nun ist die zweite DB für immer weg.

In dem Fall müssen eigentlich mehrere Anträge gestellt werden, weil sich der Aufwand ja auch entsprechend vervielfacht. Ist die Info, dass wirklich nichts mehr geht von uns? Wenn nicht, fragen Sie bitte explizit nach und wir schauen, was wir noch so haben.

Mit freundlichen Grüßen

Nils Dornblut

Guten Morgen!

Ich hatte irrtümlich angenommen das sich auf der DB 3 nichts wichtiges befindet, da ich in DB 2 alle Tabellen hatte.

Leider habe ich vergessen, dass ich vor einigen Monaten einige Daten in die DB 3 überführt hatte. Natürlich habe ich für DB 3 seitdem kein Backup gemacht. Jetzt fehlen mir Daten.

Ich wollte eigentlich sämtliche Datenbanken wiederherstellen lassen.

Das es dann mehr kostet, ist mir egal. Aber es wäre sinnvoll den Punkt "alle Datenbanken" aufzulisten. Oder zumindest eine Liste ohne das man noch mal einen separaten Restore in Auftrag geben muss.

Ich habe die Technik angeschrieben. Vielleicht habe ich Glück. Vielleicht auch nicht.

MfG,
Christian