Hackangriff auf meinem Hotelblog

Domino5702 · January 27, 2012 at 8:38 PM

Siehste, darum mach ich Screenshots - habe wieder was gelernt.

OK, die Seite sieht jetzt auch optisch ganz anders aus, als vor 2 Stunden, aber in Firebug war keine Umleitung erkennbar. Jetzt auch nicht.

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis: folgt noch

Domino5702 · January 27, 2012 at 8:45 PM

@infected: kannst du mir sagen, wieso es kein .htaccess gibt, obwohl die Permalinks nicht auf Standard stehen? Irgendwelche Dateiberechtigungen vielleicht, die fehlen? Wie klönnen dann trotzdem die Links funktionieren?

Domino5702 · January 27, 2012 at 9:04 PM

AVG Link Scanner hat keine Malware gefunden (vor 1 Minute)

mfitzen · January 27, 2012 at 9:19 PM

Domino5702: Ich berufe mich da auf die Aussage des TE, der sagte, dass er keine codierte .htaccess finden kann.

Er hat ja nicht geschrieben, dass er gar keine findet. Nur halt keine, in der Schadcode eingeschleust wurde.

BTW: Permalinks gehen auch ohne .htaccess. Stichwort IIS ;-) Trifft aber hier nicht zu, hier ist ein Apache im Einsatz.

https://www.virustotal.com/url/0c9ddb0292…sis/1327696759/

Domino5702 · January 27, 2012 at 10:17 PM

Quote

Ich finde diese htacces nicht!

...sagte der TE. Ich verstehe nicht, was Du mir mit dem "codierten" sagen möchtest.

Domino5702 · January 27, 2012 at 10:20 PM

@infected: mit IIS haste natürlich recht. Den blende ich als ehemaliger Netzwerk-Admin auf Windows Systemen meist aus - Kollateralschaden. :D

mfitzen · January 28, 2012 at 6:28 AM

Quote from Domino5702

...sagte der TE. Ich verstehe nicht, was Du mir mit dem "codierten" sagen möchtest.

Siehe Beitrag Nr. 6:

Quote from Nerdig-by-Nature

nur dummerweise finde ich keine codierte htaccess od. ähnliche datei!

Nerdig-by-Nature · January 31, 2012 at 2:32 PM

hey...
jep...ich hab dann iwann das komplette ausn FTP gehauen...dann ein älteres WP drauf und n sql backup vom letzten monat draufgehauen....

zu dem das die seite bei euch problemlos lief...auf meinem rechner lief sie nicht...ich denke das lag dann wohl an meinem browser...

dummerweise weiss ich allerdings immernoch nicht wie sowas passieren kann und wie ich solche strangen hack-attacken lösen kann...

trotzdem danke fürs feedback!!
und screenshots konnte ich nich implementieren...(hatte ich versucht;))

Hille · January 31, 2012 at 2:43 PM

Man sollte generell erst mal beginnen, seinen Blog entsprechend zu sichern. Da gibt es viele Möglichkeiten, vor allem wenn man seinen Server selbst administriert.
Eine gute Anleitung findest du hier:
http://wordpress-buch.bueltge.de/wordpress-sicherer-machen/30/

FTP selber stammt noch aus Urzeiten und ist meiner Meinung nach total unsicher.

Gruß Hille

Nerdig-by-Nature · February 1, 2012 at 10:23 AM

danke für den support, dummerweise hab ich den selben mist jetzt auf meiner http://www.munich-students.de seitehttp://forum.wpde.org/sitecheck.sucuri.net!

Also ich hab die seite durch den http://sitecheck.sucuri.net/scanner/ gejagt und da wurde mir auch mitgeteilt das:

Known javascript malware.
Details: http://sucuri.net/malware/malware-entry-mwhta7
Location: http://changedivstyle.ru/vis/index.php
das ist der selbe link wie auf meiner hotelseite!

http://sitecheck.sucuri.net/results/www.munich-students.de

wie läuft das jetzt?
muss ich das http://changedivstyle.ru/vis/index.php/404javascript
finden?

und noch ne dumme am frage zu guter letzt;)
was mache ich wenn sich das js. nicht finden lässt??

befla · February 1, 2012 at 4:01 PM

Suche nach der entsprechenden Domain. Solltest du nicht fündig werden kannst du dich alternativ auch an die Jobbörse wenden. Ich habe jedoch den leisen Verdacht, dass nicht einer deiner Dateien verseucht ist sondern die Domain bzw. der Server

Hille · February 1, 2012 at 4:28 PM

Quote from befla

Ich habe jedoch den leisen Verdacht, dass nicht einer deiner Dateien verseucht ist sondern die Domain bzw. der Server

Ne Domain kann nicht verseucht sein ;-) und der Server denke ich mal auch nicht. Es wird eine Sicherheitslücke in einem der Addons, ein unsicheres Passwort usw. das Problem sein.
Wenn ich mir den Blog so anschaue, fallen mir einige kritische Sachen auf.

Gruß Hille

Nerdig-by-Nature · February 6, 2012 at 4:05 PM

echt?? was denn zum beispiel??
mir fällt auf das bei meinen blogs auch öfters mal die bilder in den startseiten nich angezeigt werden(aber nur die startseite)...obwohl ich alle rechte korrekt vergeben habe! das ist immer mühsam sowas!

wisst ihr woran das liegen kann?
ist nun hier nicht so aber mein fashion-television.de blog hat es ziemlich hart erwischt....

r23 · February 6, 2012 at 5:33 PM

Quote from Nerdig-by-Nature

wisst ihr woran das liegen kann?
ist nun hier nicht so aber mein fashion-television.de blog hat es ziemlich hart erwischt....

1. Du gibts deine PHP Fehlermeldungen an den Browser aus.

2. Du verwendest eine fehlerhafte Konfiguration von timthumb.php

3. Die PHP Konfiguration ist lückenhaft
Hier mal ein paar Warnungen

Code

<br /> <b>Warning</b>:  touch() [<a href='[URL="http://forum.wpde.org/view-source:http://www.fashion-television.de/wp-content/themes/magazinum/scripts/function.touch"]function.touch[/URL]'>function.touch</a>]: Unable to create file ./cache/index.html because Permission denied in <b>/www/htdocs/w00ea363/fashion-television-de/wp-content/themes/magazinum/scripts/timthumb.php</b> on line <b>188</b><br /> <br /> <b>Warning</b>:  touch() [<a href='[URL="http://forum.wpde.org/view-source:http://www.fashion-television.de/wp-content/themes/magazinum/scripts/function.touch"]function.touch[/URL]'>function.touch</a>]: Unable to create file ./cache/timthumb_cacheLastCleanTime.touch because Permission denied in <b>/www/htdocs/w00ea363/fashion-television-de/wp-content/themes/magazinum/scripts/timthumb.php</b> on line <b>444</b><br /> <br /> <b>Warning</b>:  file_exists() [<a href='[URL="http://forum.wpde.org/view-source:http://www.fashion-television.de/wp-content/themes/magazinum/scripts/function.file-exists"]function.file-exists[/URL]'>function.file-exists</a>]: open_basedir restriction in effect. File(/www/htdocs/w00ea363/fashion-television-de/wp-content/themes/magazinum/scripts/timthumb.php/wp-content/uploads/2011/07/Stiefel-Fashion-Television-150x150.jpg) is not within the allowed path(s): (/www/htdocs/w00ea363/:/tmp:/usr/bin:/www/htdocs/w00ea363:/bin:/usr/local/bin:/usr/share/php) in <b>/www/htdocs/w00ea363/fashion-television-de/wp-content/themes/magazinum/scripts/timthumb.php</b> on line <b>852</b><br />

4. das Verzeichnis cache sollte für PHP beschreibbar sein...

wenn du hilfe benötigst(!) schreibe dies doch als Job im Jobforum aus?

viel glück

ralf

Hille · February 6, 2012 at 8:04 PM

Quote from Nerdig-by-Nature

echt?? was denn zum beispiel??

Du kannst deinen Blog etwas sicherer mit dem Plugin

http://wordpress.org/extend/plugins/secure-wordpress/

machen. Hier kannst du noch etwas zum Thema nachlesen:

http://wordpress-buch.bueltge.de/wordpress-sicherer-machen/30/

matze310706 · February 7, 2012 at 9:43 AM

Gibt es irgendwelche Sicherheitslücken in WP-Themen? Seit ca. 2 Tagen habe ich folgende Aufrufe in meinen Logs:

Code

123.240.91.19 - - [06/Feb/2012:11:08:13 +0100] "GET /wp-content/themes/buro/style.css HTTP/1.1" 200 253
118.168.171.89 - - [06/Feb/2012:11:08:15 +0100] "GET /wp-content/themes/coffeebreak/style.css HTTP/1.1" 200 253
2.183.4.84 - - [06/Feb/2012:11:08:17 +0100] "GET /wp-content/themes/continuum/style.css HTTP/1.1" 200 253
93.155.225.238 - - [06/Feb/2012:11:08:18 +0100] "GET /wp-content/themes/coquette/style.css HTTP/1.1" 200 253
122.162.45.39 - - [06/Feb/2012:11:08:33 +0100] "GET /wp-content/themes/crisp/style.css HTTP/1.1" 200 253
78.225.16.216 - - [06/Feb/2012:11:08:54 +0100] "GET /wp-content/themes/dailyedition/style.css HTTP/1.1" 200 253
180.178.181.98 - - [06/Feb/2012:11:08:57 +0100] "GET /wp-content/themes/delegate/style.css HTTP/1.1" 200 253
202.80.122.58 - - [06/Feb/2012:11:08:59 +0100] "GET /wp-content/themes/diarise/style.css HTTP/1.1" 200 253
178.223.135.184 - - [06/Feb/2012:11:09:00 +0100] "GET /wp-content/themes/diner/style.css HTTP/1.1" 200 253
82.131.64.183 - - [06/Feb/2012:11:09:01 +0100] "GET /wp-content/themes/elefolio/style.css HTTP/1.1" 200 253
190.183.109.39 - - [06/Feb/2012:11:09:03 +0100] "GET /wp-content/themes/estate/style.css HTTP/1.1" 200 253
125.167.141.175 - - [06/Feb/2012:11:09:06 +0100] "GET /wp-content/themes/optimize/style.css HTTP/1.1" 200 253
93.90.253.93 - - [06/Feb/2012:11:09:07 +0100] "GET /wp-content/themes/premiere/style.css HTTP/1.1" 200 253
109.184.160.178 - - [06/Feb/2012:11:09:08 +0100] "GET /wp-content/themes/savinggrace/style.css HTTP/1.1" 200 253
116.203.241.103 - - [06/Feb/2012:11:09:09 +0100] "GET /wp-content/themes/geometric/style.css HTTP/1.1" 200 253
46.63.195.129 - - [06/Feb/2012:11:09:10 +0100] "GET /wp-content/themes/spectrum/style.css HTTP/1.1" 200 253
180.151.95.12 - - [06/Feb/2012:11:09:13 +0100] "GET /wp-content/themes/gothamnews/style.css HTTP/1.1" 200 253
83.24.175.105 - - [06/Feb/2012:11:09:15 +0100] "GET /wp-content/themes/groovyblog/style.css HTTP/1.1" 200 253
122.169.19.53 - - [06/Feb/2012:11:09:16 +0100] "GET /wp-content/themes/groovyphoto/style.css HTTP/1.1" 200 253
217.218.119.85 - - [06/Feb/2012:11:09:18 +0100] "GET /wp-content/themes/groovyvideo/style.css HTTP/1.1" 200 253

Display More

Bei mir passiert nicht viel. Ich habe keines der Themen, und außerdem liegt WP in einem extra Ordner. Also kam bisher nur Fehler 404. Ich habe diese Versuche inzwischen per .htaccess ins Nichts geleitet ;)

Apache Configuration

RewriteCond %{REQUEST_URI} ^/wp\-(admin|content|includes) [NC]
RewriteRule . nix.txt [L]

Vielleicht ist diese Info für den ein oder anderen interessant?!

Hille · February 7, 2012 at 10:05 AM

Normales Grundrauschen nennt man das. Die Umleitung auf die nix.txt ist nicht nötig bzw. ergibt keinen Sinn.

matze310706 · February 7, 2012 at 10:38 AM

Quote from Hille

Die Umleitung auf die nix.txt ist nicht nötig bzw. ergibt keinen Sinn.

Doch. Es spart Traffic. Ich habe zwar kein Limit, aber warum soll ich die Daten für die 404-Seite an so was vergeuden? Ich akzeptiere deine Ansicht, aber ich habe eben eine andere Einstellung zu solchen Dingen. :)
btw, ich leite auch noch andere Dinge in diese Textdatei. Der Auszug aus der .htaccess oben war also nur ein sehr kurzer.

Putzlowitsch · February 7, 2012 at 10:53 AM

In dem Zusammenhang möchte ich mal auf meinen Artikel verweisen :-)
http://schnurpsel.de/wordpress-mit-…-entlasten-590/

Es geht dabei auch weniger um den Traffic oder des Traffic-Limit, als vielmehr um die Verringerung der Server-Last. Für jede fehlerhafte Anfrage muß sonst Wordpress geladen werden und dabei passiert so einiges.

Gruß
Ingo

matze310706 · February 7, 2012 at 11:40 AM

Quote from Putzlowitsch

Es geht dabei auch weniger um den Traffic oder des Traffic-Limit, als vielmehr um die Verringerung der Server-Last. Für jede fehlerhafte Anfrage muß sonst Wordpress geladen werden und dabei passiert so einiges.

Das ist auch meine Einstellung. ;)

Dear visitor, welcome! Create an account or sign in to comment

Hackangriff auf meinem Hotelblog

Participate now!