Website (bei IONOS gehostet) kompromittiert, wie vorgehen?

[oli1a]

Hallo zusammen,

ich habe für einen meiner Kunden eine kleine WordPress-Seite gebastelt, die auf IONOS gehostet wird. Der Kunde hat mir E-Mails weitergeleitet, die beschreiben, dass ein Hackerangriff auf die Seite gestartet wurde und eine schädliche Datei hochgeladen wurde, bzw. dass einige Wordpress-Dateien unerlaubt modifiziert wurden.

Nun bekomme ich schwammige Aussagen, was dort wirklich passiert ist:

Vor wenigen Minuten hat unser Anti-Viren-Scanner erkannt, dass eine schädliche Datei auf Ihren Webspace geladen wurde.

Die Datei finden Sie auf Ihrem Webspace unter folgendem Pfad:

~/***/wp-load.php

In der Zwischenzeit können Sie bereits einige Schritte unternehmen:

1. Nutzen Sie ein Content-Management-System (CMS) wie Wordpress oder Joomla?
Dann empfehlen wir Ihnen, das CMS inkl. Plugins und Themes auf die neueste Version zu aktualisieren.

2. Prüfen Sie Ihren Computer mit einem Antivirenprogramm.

Ja, ich kann WordPress nicht aktualisieren, weil sie die Zugriffsrechte geändert haben und ich seltsamerweise auch über WinSCP nicht mehr auf den FTP Server komme. (Auch nicht über FileZilla mit den Zugangsdaten, die im Vertrag stehen):

Status: Access denied
Fehler: Authentifizierung fehlgeschlagen.
Fehler: Kritischer Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Und WordPress hat sich und die Plugins immer selbst aktualisiert. ABER: Über IONOS-WEB-FTP kann ich mich einloggen. Aber wie soll ich von dort ein Update machen? Ich könnte die Zugriffsrechte wieder ändern, aber ich müsste die schädlichen Dateien ja erstmal entfernen. Dann kam noch eine Mail, die mir Analysedaten gezeigt hat:

Hier finden Sie unsere Analyseergebnisse.
Damit Ihre Webseite wieder wie gewohnt funktioniert müssen Sie nach erfolgter Bereinigung die Dateirechte wieder auf 604 ändern.

Folgende Dateien wurden aller Wahrscheinlichkeit nach von Dritten modifiziert.
Bitte überpruefen Sie diese Dateien und laden Sie diese gegebenenfalls aus einem nicht infizierten Backup erneut auf Ihren Webspace.
~/***/wp-includes/meta.php
~/***/wp-includes/plugin.php
~/***/wp-config.php
~/***/wp-includes/template-loader.php
~/***/wp-includes/formatting.php
~/***/wp-content/themes/generatepress/functions.php
~/***/config-main.php
~/***/wp-includes/theme.php
~/***/wp-load.php

ABER: Über den IONOS Webspace-Explorer komme ich problemlos auf den Server. Nun habe ich aber Bedenken, die Rechte zurück zu ändern, falls wirklich ein Virus hochgeladen wurde:

3. Damit Ihre Website wieder erreichbar ist, ändern Sie nach Bereinigung der Dateien die Dateirechte von 200 auf 604. Bei Verzeichnissen ändern Sie bitte die Rechte von 700 auf 705. Nur so kann Ihre Website wieder richtig angezeigt werden.

Wie gehe ich nun am besten vor? Website ist offline, über "wp-login.php" komme ich nicht rein (Rechte: 644).

Vielen Dank für die Hilfe.

 

[tRITON]

An deinen Hoster wenden ... IONOS ändert meistens direkt das Admin Kennwort. Das musst dann erst mal wieder dir bekannt werden.

Gglfs. kommst Du noch ins Admin Panel (login.ionos.de), wenn ja, dann kannst Du es auch dort neu setzten.

Dann Backup einspielen und Wordpress updaten

 

[tollertyp]

Der TItel ist ziemlich irreführend und fast schon rufschädigend, wenn ich es richtig sehe. Der Angriff war ja wohl nicht auf IONOS, sondern auf eine Seite in deiner Verantwortung, die zufällig auf IONOS gehostet wurde.

 

[JumpingCat]

Am besten spielst du einfach das letzte Backup wieder ein wo noch alles ok war.

Hast du nun einen Server oder ein Webhosting?

 

[Ayo34]

+1
Bitte ändere den Titel, deine Website hat Probleme, nicht IONOS.

Am Ende musst du schauen was wirklich vorgefallen ist und wo die Schwachstelle ist. Dann spielst du einfach das Backup ein und aktualisiert alles auf den neusten Stand. Dauert normal nicht lange.

 

[Malaclypse17]

Über IONOS Portal neu provisionieren lassen und anschließend Backup einspielen und direkt alles patchen.

 

[Yaakoss]

Sorry, aber erstmal kein Backup einspielen und alles patchen wenn du nicht weißt wie und wann die reingekommen sind!

• Inhalte/Logs sichern damit du es untersuchen kannst.
• Website abschalten und dann herausfinden wie die reingekommen sind.

Einfach mal Backup einspielen und patchen bringt nichts wenn die länger drin waren oder wenn es ein unbekannter Bug war der ausgenuzt wurde.

 

[chr1zZo]

Hol dir deine CHMOD einfach wieder! So schwer ist das nicht.

Ansonsten gibts ja Daily Backups? oder nicht ?

Wie konnten Sie die WP Seite hacken:

• Falsche und damit zu hohe und offene Rechte gesetzt
• Kein Security Plugin installiert innerhalb WP
• War wohl vl. doch ein Plugin für eine Lücke verantwortlich
• Irgendwo die Zugangsdaten / Passwörter geleakt, die dort verwendet wurden
• veraltete Themes
• veraltete PHP/MySql Versionen
• Nulled Themes oder Plugins die sonst kostenpflichtig sind

Ansonsten, schreib mir ne PM und ich bau dir alles wieder zurecht

 

[SSD960]

Bitte den Titel ändern!

Ich habe auch zuerst gelesen das Ionos gehackt wurde.

 

[Zensai]

Ich habe den Titel angepasst. Bitte künftig darauf achten, danke! =)