Immer der gleiche Hacker kennt alle meine Domains? Was tun?

Beitrag von **Unbekannter** » 15.05.2013, 17:29

Hi,

ich hab da aktuell ein kleines Problem mit einem Hacker. bei mir hatte sich mal einer eingeschleicht und alle meine FTP Passwörter geklaut. Danach waren alle meine Domains gehacked bzw. lahmgelegt.

Nach dem Backup aufspielen wurde natürlich von mir das PW geändert. Ich habe zudem eine .htaccess Login Schutz eingebaut und das Programm Better WP Security installiert.

Dieses Plugin meldet mir nun immer wieder per Mail das jemand versucht hat eine ungültige URL auf meiner Domain aufzurufen. Die IP wird daraufhin für 1. Stunde ausgesperrt.

Komisch ist, ich bin bei 1blu, Celeros und Alfahosting. Und der Hacker kennt alle Domains und versucht reinzukommen. Ich weiß nicht ob es der Selbe ist der damals die FTPs gehackt hat.

Ich habe seine iP. Er kommt aus Russland. Was kann ich denn da machen? Kann man das irgendwo melden? Oder kann ich seine IP komplett aussperren?

https://ip-adress.com/ip_tracer/188.143.234.6

Oder ist das gar kein Hacker sondern irgend ein Bot? Kenne mich damit leider gar nicht aus.

von **Anzeige von ABAKUS** »

Hochwertiger Linkaufbau bei ABAKUS:

Google-konformer Linkaufbau
nachhaltiges Ranking
Linkbuilding Angebote zu fairen Preisen
internationale Backlinks

Wir bieten Beratung und Umsetzung.
Jetzt anfragen: 0511 / 300325-0

Beitrag von **Pompom** » 15.05.2013, 17:51

Wechsel mal dein FTP-Programm und installiere eine (Software-)Firewall, die du mit der IP fütterst.

Beitrag von **thefly** » 15.05.2013, 17:57

Hast du Filezilla als FTP-Programm?

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **Vegas** » 15.05.2013, 18:04

Unbekannter hat geschrieben:bei mir hatte sich mal einer eingeschleicht und alle meine FTP Passwörter geklaut.

Filezilla? Auf jeden Fall sicher konfigurieren oder auf einen Client wechseln, die nicht ungefragt alle Zugangsdaten im Klartext speichert.

Unbekannter hat geschrieben:Komisch ist, ich bin bei 1blu, Celeros und Alfahosting. Und der Hacker kennt alle Domains und versucht reinzukommen. Ich weiß nicht ob es der Selbe ist der damals die FTPs gehackt hat.

Im Zweifel ja, Du bist da auf eine Liste gerutscht, die immer wieder abgearbeitet wird oder Deine Daten wurden weiterverkauft.

Unbekannter hat geschrieben:Ich habe seine iP. Er kommt aus Russland. Was kann ich denn da machen? Kann man das irgendwo melden? Oder kann ich seine IP komplett aussperren?

Melden bringt nichts, aussperren geht natürlich, aber im Zweifel wechselt er dann einfach die IP.

Unbekannter hat geschrieben:Oder ist das gar kein Hacker sondern irgend ein Bot? Kenne mich damit leider gar nicht aus.

Beides, in der Regel sind das vollautomatisierte Bots, da sitzt keiner am Bildschirn und hackt einzeln Deine Seiten sondern automatisiert hunderte oder tausende Seiten am Tag, um darüber Malware zu verbreiten, Mails zu verschicken, Links einzuschleusen, sie als Proxies zu mißbrauchen oder was auch immer.

Beitrag von **Unbekannter** » 15.05.2013, 18:34

Also die FTP (Filezilla) Sache ist länger her. Danach wurde der Rechner schon formatiert und ist eigentlich sauber. FTP Zilla nutze ich inzwischen nur noch per manueller Passworteingabe. Früher habe ich alles abgespeichert gehabt.

Also wenn es ein automatisierter Bot ist dürfte ja auch nix wildes passieren oder? Der kommt gar nicht ins WP-Login Fenster weil die .htacess schon vorher blockt vermute ich.

Beitrag von **mtx93** » 21.05.2013, 00:09

Versuch mal alles auf ssh mit Keys umzustellen. Erstens ist es, wenn mal installiert, viel einfacher da automatisch und zweitens viel sicherer.

Beitrag von **ElDiablo** » 21.05.2013, 07:14

Die meisten greifen bei WP den Admin User an. Bist Du sicher, dass alles über FTP abläuft? Selbst unverschlüsselt müsste schon irgendwas sehr schief laufen, dass jemand 2x an die Passwörter kommt.

Ich würde erstmal ein 10+ Zeichen PW für WP und FTP nutzen, welches gegen Bruteforce-Angriffe unempfindlich ist. Dann check auch mal alle anderen Scripte, die evtl. auf den Webspaces liegen und leite notfalls die Ports um. Generell braucht man kein FTP, sondern kann alles über SSH machen.

Ist PHP sauber konfiguriert? Register Globals aus (etc.)?

Beitrag von **Unbekannter** » 21.05.2013, 11:09

Also 2 mal wurde ich nicht gehacked. Nur das 1. mal als ich meine FTP Passwörter von Filezilla exportiert und auf einen anderen Rechner übertragen habe. Genau dann schlich sich ein Trojaner ein.

Seit dem wurde nichts mehr gehacked. Ich bekomme aber vom "Better WP Security" Plugin eine E-Mail sobald ein Besucher ungewöhnlich oft nicht existierende Seiten besuchen will. Dann wird der Besucher automatisch vom Plugin blockiert.

Jedoch ist es immer der gleiche Typ aus Russland der das auf allen meinen Domains versucht. Wie gesagt, rein kommen tut er nicht. Er versucht es halt ständig.

Beitrag von **p4tr4sch** » 21.05.2013, 11:09

Wenn Deine Zielgrupppe nicht in Russland sitzt, deine Seite auf russisch ist etc... dann sperr doch den kompletten IP-Kreis.

Beitrag von **pimpi** » 21.05.2013, 13:53

Aktuell scheint ja wieder eine fette Angriffswelle auf wordpress abzugehen. Indien, Japan, Pakistan...die üblichen Netzwerke. Eigentlich alle zielen auf "admin" ab. Also ändern und ebenso die die (1) des Admin.

Beitrag von **Unbekannter** » 21.05.2013, 17:33

Das wurde alles von Better WP Security erledigt

Zusätzlich ist noch eine .htacess passwort Sperre zum Admin Login drin.

Die IP sperren müsste ich mal schauen wie sowas geht.