Solange du nicht weißt welchen Weg der Angreifer genommen hat ist es nicht zielführend ein Backup zurück zu spielen.
das ist dann wahrscheinlich nur eine Frage von Minuten oder Stunden bis die Seite wieder down ist.

Wahrscheinlich war eines der Plugins der Übeltäter. Du solltest alle auf Aktualität überprüfen.

Stellt Sucuri denn fest, wo das Einfallstor war? Geschieht das nicht automatisch bei deren Bereinigungsarbeit?

Das hier ist nicht gerade vertrauenserweckend:
https://de.trustpilot.com/review/suc...?languages=all bezieht sich aber auf alle Länder.

Und hier: https://www.capterra.com.de/software...bsite-security

Sucuri spielt meines Wissens nach lediglich ein Backup wieder ein und wartet auf den nächsten Hack.
Ich wüsste nicht, dass dort Ursachenforschung betrieben wird.

Der Vorteil von Suciri liegt m.E.n. eher darin, dass bekannt Angriffsvektoren bereits im Vorfeld blockiert werden ohne das man sich um irgendwas kümmern muss.
Quasi wie ein Virenscanner. Der ist aber auch hilflos wenn er keine passende Virensignatur erkennt. Da hilft dann auch nur ein Backup.

Laut Telefonsupport nutzen die keine Sicherungen von DF. Das hülfe auch nicht, denn die sind bereits betroffen und dass Sucuri dann blind bzw. auf Gut Glück einfach irgendeine Sicherung einspielt...
so dumm können die nicht sein.
Dazu braucht man auch kein Sucuri, also zum Einspielen einer DF-Sicherung, das kann man auch alleine mit DF.

Weißt jemand dazu mehr, vielleicht Nils Dornblut ?

War die Seite auf dem neuesten Stand (Wordpress + Plugins)?
Wir haben auch ein paar Wordpress-Seiten laufen, aber zum Glück (meines Wissens) noch keine Hackangriffe.
Zu Sucuri hab ich leider auch keine Erfahrungen.

Was ich z.B. bei einer solchen Bereinigung schwierig finde:
Die Malware fügt ein neues Theme hinzu (oder Plugin). Woher weiß Sucuri, dass das hinzugefügt wurde?
Wenn der Code z.B. in der index.php komplett verändert wurde (und der an sich korrekte Dateiname "index.php" beibehalten bleibt), woher weiß Sucuri, wie genau der Code vorher bei mir ausgesehen hat? Solche Codes sind doch auch individuell angepasst).

Suciri arbeitet wie ein Virenscanner und sucht nach verdächtigen Datei Strukturen.
Es wird nicht in dem Sinne nach „neu“ und „alt“ unterschieden.

Im Gegensatz zum früheren Produkt Sitelock ist die Erkennungsrate von Schadcode bei Sucuri definitiv schlechter geworden, sauberes Backup + direkt alle Aktualisierungen durchführen sollte also zielführender sein

Hm, hörte kürzlich auch eine schlechte erfahrung eines Sucuri-Kunden bei Hosteurope...


Vielleicht auch ein eigener Thread wert, aber weiß jemand, wie man einen 503-Code setzt, der eine großzügige Retry-After-zeit hat? Ich bin durch diese Seite drauf gekommen:
https://yoast.com/http-503-site-maintenance-seo/ wo aber wenig zur Umsetzung gesagt ist (ohne Plugin) bzw. nur von einer maintenance.php.

Hier bei https://www.inmotionhosting.com/supp...te-503-status/ steht was von einer 503.php, also wieder eine andere Datei und zusätzlich ein Code in der htaccess:

First, you will want to create a file named “503.php”. This file can serve as a notification for both the servers as well as your human visitors. For the search engines, you will need to place some code at the top of the file. You can copy the code below:

<?php
header(“HTTP/1.1 503 Service Temporarily Unavailable”);
header(“Status: 503 Service Temporarily Unavailable”);
header(“Retry-After: 3600”);
?>


The first two lines define the 503 code. The third line defines when the site is expected to be back. In this case, the number is given in seconds. 3600 seconds is one hour. In some cases, you may want to give a specific date. In that case, you would use the following line instead:

header(“Retry-After: Fri, 27 May 2016 12:00:00 GMT”);


This line must be given in Greenwich Mean Time (GMT) so you may want to adjust it for your specific time zone.

Das mit der 503 hat sich erledigt.

Ich finde den Schadcodecanner, den DF von Haus aus anbietet, immer noch am besten. Der gibt verdächtige Stellen direkt an und man weiss wo man ansetzen kann.

Weiss jemand was DF da einsetzt? Das Feature vermisse ich wirklich schmerzlichst bei anderen Anbietern.....

Ich setze auf "eigenen" Servern das hier ein: https://ispprotect.de

Ist nicht das gleiche, kommt dem aber relativ nahe

Der Softwarechecker ist eine Eigenentwicklung.

Mit freundlichen Grüßen

Nils Dornblut