Website gehackt, was tun nach restore?

[croxxx69]

Hallo,

wollte fragen was kann ich tun, wenn ich mein Backup wieder rauf mache (ist jetzt im Gange) und hoffe wieder alles normal wird? Gibt es ein Plugin fuer Woo was mich davor schuetzt? Die haben mir eine. neue Seite raufgesetzt, Casino etc.:

https://jeftini-top-proizvodi.com/

Ist zum ersten mal ist sowas passiert, eigentlich habe ich das Plugin Worddefense glaube ich das es heisst... darum bin ich bisschen verwirrt wie das geschehn konnte...

 

[kieleich]

wenn du eine lücke hast und du stellst die lücke wieder her dann ist es gleich wieder dicht

die frage ist wie die rein kommen, irgendwelche defense plugins lol, ähm, gibts das wirklich?? wäre nicht das erste mal das so ein angebliches security plugin selber das einfallstor gewesen wäre

eine ordentliche software sollte so was nicht brauchen aber ich kenn mich ja nicht aus

webhosting oder eigener server?

 

[Key³]

Wenn die dort einfach eine neue Seite gehostet habe, dann liegt das Problem doch eher beim Zugang zu deinem Hosting bzw. beim Zugang zu den Domaineinstellungen als an Wordpress.!?

Da müsstest du uns genau sagen was sie denn getan haben bzw. was verändert wurde.

 

[croxxx69]

Wie kann ich die ganze Seite kopieren? Klicke element durchsuchen und kann leider nicht den ganzen html core kopieren.
Vielleicht hilft dies weiter? Versuch mich per FTP zu verbinden, vielleicht ist da ja was, nur jetzt ist der restore aktiviert, glaube da kann ich nicht viel einsehen wenn da Veraenderungen waren...

Die vom Hosting meinen es ist was per Wordpress geschehen und das keiner auf dem Server Zugriff hatte,,,


EDIT:

Wordfense wurde geloescht, weiss nicht vom wem genau, habe es wieder installiert.

 

[Aduasen]

Die vom Hosting meinen es ist was per Wordpress geschehen und das keiner auf dem Server Zugriff hatte,,,

Und was sagt Wordpress dazu?
Oder ist es Dir gar nicht wichtig?

 

[Ayo34]

Alle Passwörter ändern, Backend extra schützen, Software aktualisieren, unnötige Plugins deinstallieren. Kontrollieren ob für irgendwelche Plugins etwas bekannt ist. Einfach Backup neu aufspielen wird nichts bringen.

Ergänzung (4. Februar 2025)

Und was sagt Wordpress dazu?
Oder ist es Dir gar nicht wichtig?

Was soll Wordpress dazu sagen? Das ist ein CMS, was Millionen verwenden. Man muss die Lücke finden.

 

[Janush]

No way, 30 Plugins und dann fragst du dich wie das passieren konnte? Du solltest mal jemanden drüber schauen lassen, der sich auskennt.

 

[KurzGedacht]

Was soll Wordpress dazu sagen? Das ist ein CMS, was Millionen verwenden. Man muss die Lücke finden.

Die Lücke lässt sich am einfachsten finden, wenn man sich die Access und Error Logs des Webservers anguckt. Zumindest in der Annahme, dass es eine Lücle im Code gibt und nicht einfach irgendwer von irgendwo Admin Zugangsdaten hat.

@croxxx69 sind den Wordpress, die Themes und alle Plugins auf dem aktuellen Stand gewesen? Da tauchen ununterbrochen neue Sicherheitslücken auf, also sollte man solche CMS Systeme alle paar Wochen mal auf den aktuellen Stand bringen und evtl die Newsletter von Wordpress und den kritischen Plugins abonnieren, damit man zeitnah informiert wird.

 

[Ayo34]

PS, wenn die Seite gehackt wurde und unsicher ist, würde ich nicht auf die Webseite klicken und die aufrufen!

Noch weniger würde ich dort wichtige Daten eingeben oder etwas kaufen. Da ist das Geld sonst schnell weg. Gerade bei einem Shopsystem ist Sicherheit sehr wichtig.

Auch ist man möglicherweise verpflichtet das zu melden, wenn Kundendaten jetzt abgeflossen sind.

 

[Janush]

Hier mal die Lockdown Stats von einer Seite mit sehr wenig Traffic im Monat. Kannste dir ausrechnen was los ist, wenn du ne bekannte Seite hast. Und das sind nur die Logins ... nebenbei durchsuchen die regelmäßig deine Plugins und Themes nach bekannten Lücken. Und wenn da was dabei ist, gehts ganz schnell.

 

[prian]

Du kannst eine Wordpress-Seite nicht einfach "kopieren", da steckt doch eine Datenbank dahinter.
Diese Datenbank muss man sichern, da steckt der Content drin. Das was Du runterkopieren könntest via FTP ist das CMS-System selbst, also die ganzen Dateien die Wordpress samt Plugins so mitbringt.
So etwas sollte Dein Hoster mit im Programm haben, i.d.R. habe ich das in der Vergangenheit immer mit phpmyadmin gemacht (aber da muss man auch etwas Ahnung haben).

 

[Ayo34]

Hier mal die Lockdown Stats von einer Seite mit sehr wenig Traffic im Monat. Kannste dir ausrechnen was los ist, wenn du ne bekannte Seite hast. Und das sind nur die Logins ...

Anhang anzeigen 1579205

Sichert man deswegen nicht, z.B. über die htaccess zusätzlich seinen Backend Bereich, damit man erst gar nicht zum Login Bereich kommt?

 

[croxxx69]

Schon wieder, ist wieder diese Casino Seite drauf... hat wohl nichts gebracht mit dem restore, am Anfang war wieder meine Seite online aber leider ist wieder diese Casino Seite

Ergänzung (4. Februar 2025)

Hier mal die Lockdown Stats von einer Seite mit sehr wenig Traffic im Monat. Kannste dir ausrechnen was los ist, wenn du ne bekannte Seite hast. Und das sind nur die Logins ... nebenbei durchsuchen die regelmäßig deine Plugins und Themes nach bekannten Lücken. Und wenn da was dabei ist, gehts ganz schnell.

Anhang anzeigen 1579205

Also hatte ja diese ganzen Plugins schon paar Monate, bzw. habe lange nicht mehr neue installiert und es war auch immer ok alles... D.H. es gibt viele Loginversuche?

 

[redjack1000]

Schon wieder, ist wieder diese Casino Seite drauf..

Wundert mich jetzt nicht.
So lange Du die Schwachstelle, nicht diagnostiziert und beseitigst hast, wird das immer wieder passieren.

CU
redjack

 

[gaym0r]

Such dir eine Firma, die dich unterstützt, hier mangelt es an Grundwissen.
Und da du scheinbar Kundendaten verarbeitest, musst du so einen Hack auch melden. (DSGVO)
Anzeige bei der Polizei generell kann auch nicht schaden.

Hattest du wenigstens alle Admin-Passwörter geändert?

 

[Janush]

Sichert man deswegen nicht, z.B. über die htaccess zusätzlich seinen Backend Bereich, damit man erst gar nicht zum Login Bereich kommt?

Ja, oder auch hinter Cloudflare ... aber bei sicheren Passwörtern kommen die nicht weit. Aber generell natürlich nochmal ne extra Sicherheitsschicht ... wenn das Passwort sicher ist :-)

Also hatte ja diese ganzen Plugins schon paar Monate, bzw. habe lange nicht mehr neue installiert und es war auch immer ok alles... D.H. es gibt viele Loginversuche?

Schau doch mal in deine Logfiles ... da siehst du was die Bots alles so treiben auf deinem Server ... wenn es Logfiles gibt :-)

 

[croxxx69]

Ja, die Pass bei den Admins geandert.

Per Wordfense noch dies geloescht:

• • File appears to be malicious or unsafe: wp-admin/network/info.php
    Type: File
  • Issue Found 2. February 2025. 17:35
    Critical
  • IgnoreDetails
• • Filename: /home/jtop285/public_html/wp-admin/network/info.php
  • File Type: Not a core, theme, or plugin file from wordpress.org.
  • 
    
  • Details: This file appears to be installed or modified by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The matched text in this file is: $YANZijwug9222[0].$YANZijwug9222[1].$YANZijwug9222[2].$YANZijwug9222[3].$YANZijwug9222[4].$YANZijwug9222[5].$YANZijwug9222[6].$YANZijwug9222[7].$YANZijwug9222[8].$YANZijwug9222[9].$YANZijwug9222[10].$...
    
    The issue type is: ObfuscatedHP/ObfuscatedContent.7762
    Description: Suspicious obfuscated code

 

[Key³]

Jetzt ändre doch erstmal die Zugangsdaten zu deinem Server (alle - egal was da an Protokollen aktiv ist. schiel Richtung ->FTP und co., nicht nur das Webseitenpasswort)

Ja, die Pass bei den Admins geandert.

Auf der Webseite (Wordpress) oder alles was den Zugang zu deinem Server/Hosting-Anbieter betrifft?

 

[croxxx69]

Admin pass von Wordpress und auch Cpanel vom Server, wie ich sehe ist das auch automatisch das pass fuer den FTP Zugang

Aber die vom Hosting meinten es waere von Wordpress Seite aus...

Hier schon wieder.... wieder die Casino Seite...

 

[azereus]

1) ändere deine admin zugänge

2) unterlasse es einen restore durchzuführen wenn die restore-daten eine nicht geschlossene lücke aufweisen (aufgrund von fehlenden updates, kompromitierten genutzten plugins/themes etc)

3) bereeinige den webhost zu 100%.
(alle dateien, datenbanken entfernen)

3) nimm eine ganz einfache html-seite für den Anfang mit den minimal wichtigsten informationen
(seite ist im umbau, kontaktrufnummer/mail, danke für ihr verständnis)

4) beginne ordentlich von neuem oder such dir bezahlte hilfe



LG