ABAKUS

Hallo Leute,

eine kleine Seite von mir mit wenig Besuchern wurde zum 2. mal gehackt. Da ich ein Webhosting Paket nutze auf dem 3 Domains laufen, wurden vom Hoster leider alle 3 Domains gesperrt. Eine Domain ist mir wichtig und es nervt mich das sie nun wieder gesperrt ist.

Ich lasse die wichtige Domain nun auf ein extra Paket umbuchen damit das nicht mehr passiert.

Was mache ich jedoch mit diesem gehacke?

Nach dem 1. mal habe ich WP, das Theme und die Plugins aktualisiert. Habe das FTP Passwort geändert. Hat aber alles nichts gebracht.

Der Hack beschränkt sich dabei lediglich auf ein Script (php datei) das wohl von meiner Webseite aus Spam Mails versendet. Mein Hoster wird mir dieses mal sicher Probleme bereiten da sie beim letzten mal schon meinten das es nicht mehr vorkommen darf. Ich dachte jedoch das die Maßnahmen die ich unternommen hatte ausgereicht hätten.

Mein Hoster hatte mir empfohlen das FTP Passwort zu ändern. Mein Wordpress PW habe ich nicht geändert. Aber können die denn vom WP Backend auch PHP Scripte auf den Server laden?

Beim letzten mal habe ich gesehen das im Theme Ordner ein weiterer Ordner namens Temps erstellt wurde und dieser voll mit PHP Dateien war.

Hast du eine aktuelle Version von Wordpress installiert?
Verwendest du ein gratis Theme?
Welche Plugins sind aktiviert?
Verwendet dein Theme oder ein Plugin timthumb.php?
Lautet dein Passwort 12345?

WP ist auf die neuste Version aktualisiert.

Theme ist von Elegantthemes und ist die neuste Version

Plugins eigentlich sehr wenige. Kann im Moment nur nicht nachsehen da alles gesperrt ist. Ist fast nur WP Backup installiert.

timthumb.php, nicht das ich wüsste.

PW´s sind eigentlich aus Buchstaben und Zahlen.

Also die haben das jetzt wieder freigeschalten.

Ich werde WP löschen und alles neu aufsetzen. Dann wähle ich ein paar Passwörter die völliger Bullshit sind wie (/$§"fdsf$§"(WDCX§RFKJ.... Wenn die auch so ein Passwort knacken dann weiß ich auch nicht weiter...

EDIT: @Joe

ich vermute Elegantthemes verwendet timthumb... Habe eben das hier gefunden

https://wp-magazin.ch/blog/sicherheitsl ... ript-4627/

Danke für den Tipp! Muss mal sehen was ich da mache.

Gruß

Hatte auch diese Problem. Bei mir hat folgendes geholfen. Die rechte (Chmod) herunter setzten und das Plugin- BPS Security.

Und die timthum.php durch eine neuere Version ersetzten siehe :https://blog.wpde.org/2011/08/03/sicher ... thumb.html

Hoffe es hilft dir

Danke!

Erstmal stellt sich die Frage, wie finde ich die Datei(en) timthumb.php? Habe ja 3 WP Installationen drauf. Kann sie die tumthumb nur im Themes Ordner befinden?

Wie findet man denn base64-Codes?? Kenne mich damit 0 aus?

Und zuletzt, wie setzt man die Chmod rechte herunter?

Ich habe von dem ganzen gar keine Ahnung, sorry für die Fragerei.

Gruß

EDIT: Ich habe jetzt tatsächlich ein altes Theme gefunden in dem die Datei timthumb.php dabei war. Hab das Theme gelöscht.

Wie kann ich jetzt aber wissen ob auf dem FTP/Server noch andere veresuchte Dateien sind? Die von meinem Webhoster gemeldete Datei welche die E-Mails versendete --> redirect.php habe ich gelöscht.

Ok hab jetzt BPS Security eingerichtet. Danke für den Tipp! Hoffe das passt jetzt alles wieder!

Gruß

Als erstes würde ich mal die Sicherheit des eigenen Rechners und E-Mail Kontos prüfen.

chmod änderst du mit dem gleichnamigen Befehl, oder häufig mit einem Rechtsclick auf die betreffende Datei in deinem FTP-Tool. Eine FTP-Verbindung ist das nächste Problem -du solltest (um sowas auszuschließen) nur SFTP oder SSH connecten.
Grad config-files sind natürlich sehr gefährdet, denn dort stehen die Infos wie DB-User und Passwörter drin.

Gruß

Danke.

Bin jetzt mit der Domain komplett umgezogen bzw. habe die alte (gehackte) auf eine neue per .htaccess und 301 umgeleitet und es funktioniert auch alles. Wollte das schon immer machen, wegen dem hack hab ichs jetzt durchgezogen.

Jetzt wollte ich fragen ob ich die Wordpress Installation der alten Domain löschen kann und es reicht wenn ich jetzt nur noch die .htaccess im ordner belasse?

Die .htaccess in der Root reicht aus. Alles andere legst Du mit der .htaccess ja sowieso lahm.

Mach die Root clean bis auf die .htaccess

Bei weiteren Problemen mit Hacking deines Webspaces schreib mir mal eine PM

Unbekannter hat geschrieben:Jetzt wollte ich fragen ob ich die Wordpress Installation der alten Domain löschen kann und es reicht wenn ich jetzt nur noch die .htaccess im ordner belasse?

Yep, die leitet ja weiter, bevor Wordpress überhaupt aufgerufen wird. Grundsätzlich gilt bei Wordpress: Vorsicht mit Themes und Plugins, sie sind konservativ geschätzt für 90% aller Sicherheitsprobleme verantwortlich.

Es ist zwar schön, daß viele Leute kostenlos Themes/Plugins für Wordpress entwickeln, nur sind das oft keine Profis und nehmen es mit der Sicherheit nicht 100% genau...nicht zuletzt weil es den Entwicklungsaufwand erfahrungsgemäß locker verdoppelt.

Hey, danke!

Werd ich dann löschen wenn ich wieder Zugriff habe. Die Rankings wurden von google z.T. schon übernommen. Trotzdem fehlt ca. 50% des Traffic, was aber bei der Seite nicht gravierend ist. Sollte eh nur mal ein Test werden. Wollte schon immer mal nen Umzug testen.

Als Theme nehme ich ein kostenpflichtiges von Elegantthemes. Allerdings hatte ich eine alte WP Installation drauf, welche noch dieses timthumb drin hatte.

Hey Leute, habe die Domain ja umgeleitet. War so gesehen auch ein kleiner Test. Leider hat Google die meisten Rankings doch nicht 1:1 übernommen. Woran liegts? Für viele Suchbegriffe ranke ich nicht mehr/sehr schlecht.

du hast geschrieben , dass deine Domain paar Tage gesperrt wurde -
dann erfolgte ein Domainumzug mit 301er

Daran liegt es m.M.

Es kann dauern oder auch gar nicht mehr so werden mit den Rankings wie vorher.
Man hat keinen Anspruch darauf.
Versuche deine Blogs sauber zu halten und optimiere Onpage und sorge für schnelle Performance.

Plugin-Empfehlung: W3 Total Cache
Template: kleines SEO optimiertes ohne zu viel JS, Images etc..

Das hat bei einem meiner Blogs geholfen