Was er da schreibt, klingt in meinen Ohren überdies - ohne weitergehende Nachweise seinerseits - eher wie der Versuch einer billigen Ausrede dafür, dass er dein Wordpress "gehackt" hat
Das oder als gäbe es zwei Opfer bei einer verdeckten dritten Person.
backdoor
Du hast mich gerufen? 
Bei mir:
/usr/bin/ftp
/usr/bin/sftp
Komisch, bei mir nicht. Hängt es vielleicht vom Produkt ab? Ich hab ein Webhosting 2000. Aber Wordpress scheint ein FTP zu beinhalten. Die Frage ist, ob es das Protokoll implementiert, oder auf System Executeables zurückgreift.
Aber nehmen wir die Antwort vom IT Dienstleister doch noch mal auseinander.
Dies ist die Stellungnahme, die wir heute an unseren Hoster senden mussten.
Warum mussten sie eine Stellungnahme an den Hoster senden?
am 30.11. um 06:34h wurden Daten von der IP 188.68.47.155 auf den Server xxx.xxx.xxx.xxx per FTP übertragen.
Da steht nicht, wer Server und Client war.
Hierbei handelte es sich um einige veränderte PHP und Wordpress Dateien, u.a. wie die wp-login.php und die wp-config.php . Mit dem Wissen könnte jemand Zugriff auf die Datenbank und damit auf die User Passwörter bekommen haben.
Auf welche Datenbank oder User Passwörter? Auf ihre? Oder auf deine?
Wir haben alle verdächtigen Dateien entfernt und das FTP Passwort geändert.
Die Frage ist ja auch, woher dein WP ihr FTP Passwort kannte. Und was war das für ein Service?
Es ist anzuraten, die entsprechende Wordpress Instanz des Antragstellers ebenso zu überprüfen.
Wer ist der Antragsteller?
Irgendwie scheinen sie von ihrem Hoster zu einer Stellungnahme aufgefordert worden zu sein. Ein Antragsteller hat sich da offenbar gemeldet. Wie das mit deinem Zugriff zusammenhängt, ist mir aber nicht klar.
Ich könnte mir jetzt was konstruieren. Ein Backup-Script von dir, welches per FTP deine Installation auf einen Server spiegelt. 06:34 Uhr könnte ein typischer cron Zeitpunkt sein. Aber warum ist es ausgerechnet deren Server? Woher kommen die Zugangsdaten? Aus irgendeinem Plugin, was dieses Unternehmen vielleicht anbietet? Ist bei dir irgendwas in dieser Richtung aktiv im WP?
Alles anzeigenKomisch, bei mir nicht. Hängt es vielleicht vom Produkt ab? Ich hab ein Webhosting 2000. Aber Wordpress scheint ein FTP zu beinhalten. Die Frage ist, ob es das Protokoll implementiert, oder auf System Executeables zurückgreift.
Aber nehmen wir die Antwort vom IT Dienstleister doch noch mal auseinander.
Warum mussten sie eine Stellungnahme an den Hoster senden?
Da steht nicht, wer Server und Client war.
Auf welche Datenbank oder User Passwörter? Auf ihre? Oder auf deine?
-->Ich nehme an, auf ihre. Ich konnte bei mir nichts festellen.
Die Frage ist ja auch, woher dein WP ihr FTP Passwort kannte. Und was war das für ein Service?
-->Keine Ahnung
Wer ist der Antragsteller?
-->Ich hatte das auf mich bezogen da ich sie ja angeschrieben habe.
Irgendwie scheinen sie von ihrem Hoster zu einer Stellungnahme aufgefordert worden zu sein. Ein Antragsteller hat sich da offenbar gemeldet. Wie das mit deinem Zugriff zusammenhängt, ist mir aber nicht klar.
-->Wie gesagt, ging ich davon aus, dass ich der "Antragsteller" bin.
Ich könnte mir jetzt was konstruieren. Ein Backup-Script von dir, welches per FTP deine Installation auf einen Server spiegelt. 06:34 Uhr könnte ein typischer cron Zeitpunkt sein. Aber warum ist es ausgerechnet deren Server? Woher kommen die Zugangsdaten? Aus irgendeinem Plugin, was dieses Unternehmen vielleicht anbietet? Ist bei dir irgendwas in dieser Richtung aktiv im WP?
-->Mir ist tatsächlich nichts bekannt. Ich habe so wenig Plugins wie möglich installiert, eine komplett statische Wordpress-Seite ohne "Schnickschnack". Habe nie bewusst irgendwas in der Richtung gemacht.
Keine Ahnung wo die Zugangsdaten herkommen, warum deren Server etc.
Ich kann die Fragen leider nur zum Teil beantworten. Siehe oben direkt in deinem Zitat.
Komisch, bei mir nicht. Hängt es vielleicht vom Produkt ab? Ich hab ein Webhosting 2000. Aber Wordpress scheint ein FTP zu beinhalten. Die Frage ist, ob es das Protokoll implementiert, oder auf System Executeables zurückgreift.
Hängt definitiv vom Produkt ab bzw eventuell auch vom Erstellungsdatum. Bei meinem Webhosting 1000 SE ADV20 und beim Webhosting 4000 SE WSV2020 gibt es das ftp binary nicht, allerdings sftp ist auf dem selben Pfad wie oben vorhanden. Beim Webhosting 2000 SE PLUS sind wiederum beide vorhanden, ebenso wie beim Wehosting 8000 SE WSV20. Vielleicht wurde das unsichere ftp ab einem Zeitpunkt x nicht mehr installiert bzw dem Benutzer zur Verfügung gestellt. Oder es ist eben jeder Webhostingserver "slightly different". 
[...]
Direkte Hilfe gab es hier schon öfter im Forum! Sollte sich wider Erwarten niemand finden, installiere doch einfach ein neues Wordpress und lege deine Seiten mit den Inhalten wieder an, wobei du dann jeweils Wordpress, Theme und Plugins möglichst aktuell hältst.
Ich fühle mich immer unwohl beim Säubern. Dazu, eine Neuinstallation behebt ganz einfach, dass Übersehenes verbleiben könnte.
Edit: Auch da ich mich mit Wordpress nicht auskenne, eine Websuche nach "Wordpress hardening" sollte dir viele Antworten dazu geben, wie dein Wordpress sicherer werden kann.
-->Wie gesagt, ging ich davon aus, dass ich der "Antragsteller" bin.
Aber du hast sie direkt angeschrieben, nicht ihren Hoster. Der Auszug ist aus der Nachricht an deren Hoster, und dort ist die Rede von einem Antragsteller. Ich glaube nicht, dass sie dich damit meinen.
https://t3n.de/news/sicherheitsluecke-wordpress-plugin-1594426/
Hast du eventuell dieses Plugin in Verwendung?
https://t3n.de/news/sicherheit…wordpress-plugin-1594426/
Hast du eventuell dieses Plugin in Verwendung?
Danke für den Hinweis, aber nein. Alle meine Plugins hier:
Classic Editor
Elementor
Essential Addons for Elementor
Maintenance
UpdraftPlus
Wordfence Security
Direkte Hilfe gab es hier schon öfter im Forum! Sollte sich wider Erwarten niemand finden, installiere doch einfach ein neues Wordpress und lege deine Seiten mit den Inhalten wieder an, wobei du dann jeweils Wordpress, Theme und Plugins möglichst aktuell hältst.
Ich fühle mich immer unwohl beim Säubern. Dazu, eine Neuinstallation behebt ganz einfach, dass Übersehenes verbleiben könnte.
Edit: Auch da ich mich mit Wordpress nicht auskenne, eine Websuche nach "Wordpress hardening" sollte dir viele Antworten dazu geben, wie dein Wordpress sicherer werden kann.
Das würde ich dann im Zweifel mal machen. Danke!
Wobei, in Elementor war doch kürzlich noch was. Das war ne sehr kritische Lücke. Ich nutze es nicht, aber ich habs gelesen.
Das betraff Elementor Pro
Das betraff Elementor Pro
Und auch noch in Verbindung mit WooCommerce. Trotzdem kann man natürlich nicht ausschliessen, dass es vielleicht auch andere "Anwendungen" der selben Lücken gibt/gegeben hat. Nichts ist so sicher wie die Existenz von Sicherheitslücken. 
Bei meinem Webhosting 1000 SE ADV20 und beim Webhosting 4000 SE WSV2020 gibt es das ftp binary nicht, allerdings sftp ist auf dem selben Pfad wie oben vorhanden.
Mit z.B. PHP u.ä. Scriptsprachen kann man aber ebenfalls problemlos FTP nutzen. Und mit cURL sowieso, falls es das Binary gibt.
Danke, da kommen für eine meiner E-Mail-Adressen tatsächlich 2 Dinge hoch, allerdings von 2012 und 2019.
Sollte allerdings nicht relevant für Wordpress bzw. meine Webseite sein, da ich komplett andere Passwörter verwende, und auch nach 2019 mehrmals das Passwort meiner E-Mail-Adresse geändert habe.
Die Frage ist, was als FTP Client benutzt wurde. Das kann ja auch der WP Client gewesen sein. Das könnte sich also irgendwo in den Server-Logs verstecken. "significo.de" ist die angegriffene Domain auf deren Seite?
Ich könnte mir was konstruieren:
- Deine Seite wurde gehackt
- In der Folge hat sie per FTP etwas auf deren Server hochgeladen, vielleicht automatisch, vielleicht nach einem Trigger
- Dabei könnte ebenfalls Schadcode gewesen sein, der auf der Gegenseite zur Ausführung kam
- Dieser Schadcode könnte dann wieder den Login bei dir ausgelöst haben. Deine Zugangsdaten sind ja offenbar mit übertragen worden.
Einige offene Fragen bleiben:
- Woher kamen die FTP Zugangsdaten, die nötig waren?
- Warum mussten sie eine Stellungnahme an ihren Hoster senden?
- Wer ist der "Antragsteller"?
Alles anzeigenDie Frage ist, was als FTP Client benutzt wurde. Das kann ja auch der WP Client gewesen sein. Das könnte sich also irgendwo in den Server-Logs verstecken. "significo.de" ist die angegriffene Domain auf deren Seite?
Ich könnte mir was konstruieren:
- Deine Seite wurde gehackt
- In der Folge hat sie per FTP etwas auf deren Server hochgeladen, vielleicht automatisch, vielleicht nach einem Trigger
- Dabei könnte ebenfalls Schadcode gewesen sein, der auf der Gegenseite zur Ausführung kam
- Dieser Schadcode könnte dann wieder den Login bei dir ausgelöst haben. Deine Zugangsdaten sind ja offenbar mit übertragen worden.
Einige offene Fragen bleiben:
- Woher kamen die FTP Zugangsdaten, die nötig waren?
- Warum mussten sie eine Stellungnahme an ihren Hoster senden?
- Wer ist der "Antragsteller"?
Genau, das war die Seite.
Bzgl. der Frage zu den FTP-Zugangsdaten habe ich keine Ahnung.
Bzgl. der Stellungnahme und des Antragstellers:
Ich bin tatsächlich deren "Antragsteller", da ich ganz ursprünglich meine E-Mail sowohl an deren abuse-Mailadresse des Hosters sowie an die Firma selbst geschrieben habe. Von daher war ich da wohl der Auslöser für die Stellungnahme, sowie ich eben selbst der Antragsteller.
Obwohl ich selbst in einem (völlig anderen) IT-Bereich arbeite, merke ich wie wenig Ahnung ich von der ganzen Materie habe.
Wenn meine Seite gehackt ist/war, müsste ich doch alle möglichen Themen haben, bzw. sich Leute bei mir melden, dass meine Seite willkürlich fremde Server attackiert, ich Login-Infos in meinen Logs sehen. Wieso wird ausgerechnet dieses eine Unternehmen aus dem Nichts angegriffen?
Ich sehe auch in meinen netcup-Statistken zur Datenübertragung per FTP exakt 0,00 MB, diesen sowie letzten Monat.
nachdem sich das so ausgestaltet, würde ich auf jeden fall das logs-verzeichnis komplett sichern, bevor evtl. wichtige einträge wegrotieren.
Ich sehe auch in meinen netcup-Statistken zur Datenübertragung per FTP exakt 0,00 MB, diesen sowie letzten Monat.
Wie gesagt, das kann sonst ein FTP Client in deinem System gewesen sein. Da kommen eindeutig FTP Puts von deiner IP, und in den hochgeladenen Dateien waren deine Zugangsdaten. Es spricht einiges dafür, dass die aus deinem Server kamen.
Wenn meine Seite gehackt ist/war, müsste ich doch alle möglichen Themen haben, bzw. sich Leute bei mir melden, dass meine Seite willkürlich fremde Server attackiert, ich Login-Infos in meinen Logs sehen.
Ja, sollte man denken, aber nach einer solchen Attacke muss sich dein System ja nicht sofort in einen amoklaufenden Bot verwandelt haben. Es gibt Schadsoftware, die wartet auf Kommandos einer Zentrale, bevor sie loslegt, und in den Kommandos sind dann auch die Informationen zum anzugreifenden Ziel.
Wieso wird ausgerechnet dieses eine Unternehmen aus dem Nichts angegriffen?
Ich hatte ja auch schon mal den Verdacht, dass der Zugriff Absicht war. Ein Backup Script oder ein Plugin zum Beispiel. Der Anbieter bietet eine kostenlose Testmöglichkeit und hat deshalb Zugangsdaten hinterlegt. Aber die Zielseite sieht nicht so aus, als könne sie zu so einem Projekt gehören.
Wurden alle Dateien deiner Seite kopiert, oder nur einige? Sind die anderen Einträge von deiner Seite (results.xml, resng.css)?
