(Abuse) Zugriff von meinem Server auf fremden FTP-Server

Hallo liebe netcup-Community,

ich habe mich extra für dieses Thema neu angemeldet, auch wenn ich früher vereinzelt Beiträge gelesen habe, und wende mich mit einer Bitte zur Unterstützung an euch!

Bitte entsprechend verschieben falls es das falsche Forum ist.

Ich verwende netcup seit einigen Jahren ohne größeren Probleme für meine Wordpress-Instanz.

Am 30.11., 14:00, bekam ich per Wordfence eine E-Mail über einen erfolgreichen Login auf mein Wordpress. Habe natürlich sofort mein Wordpress- als auch netcup-Passwort geändert.

Der Login kam von einer anderen Webseite, ein kleiner IT-Dienstleister (siehe Anhang).

Diesen habe ich direkt kontaktiert, und bekam als Antwort:

"unser Admin hat das Ganze heute untersucht. Es sieht so aus, als sei Ihre Seite gehackt und dass Ihre Seite uns angegriffen hat. Dies ist die Stellungnahme, die wir heute an unseren Hoster senden mussten.

am 30.11. um 06:34h wurden Daten von der IP 188.68.47.155 auf den Server xxx.xxx.xxx.xxx per FTP übertragen. Hierbei handelte es sich um einige veränderte PHP und Wordpress Dateien, u.a. wie die wp-login.php und die wp-config.php . Mit dem Wissen könnte jemand Zugriff auf die Datenbank und damit auf die User Passwörter bekommen haben. Wir haben alle verdächtigen Dateien entfernt und das FTP Passwort geändert. Es ist anzuraten, die entsprechende Wordpress Instanz des Antragstellers ebenso zu überprüfen.

"

Nun bin ich etwas ratlos, Wordfence zeigt keine Login-Versuche an, außer dem einen, keine veränderten Dateien, auch in netcup selbst kann ich nichts erkennen.

Jemand/Ein Bot müsste ja sowohl mein netcup/Wordpress-Passwort geknackt haben als auch das FTP-Passwort der fremden Seite.

Es sieht für mich weiterhin danach aus, dass der Zugriff von der Seite auf mein Wordpress erfolgt ist.

Hat jemand konkrete Tipps, was ich noch machen könnte? Gibt es netcup-Logs? Wie bekomme ich weitere Infos von netcup was da zu dem Zeitpunkt passiert ist? Wie kann ich am besten prüfen ob es in meinem netcup/Wordpress veränderte Dateien etc. gab?

Vielen Dank schonmal im Voraus!

Vielen Dank schonmal für all die Antworten!

Zitat von Hille

Wenn ich das richtig verstanden habe, wurde bei dem IT-Dienstleister die Wordpress Installation gehackt. Ich würde die empfehlen, einfach mal deine Installation anzuschauen. Wichtig ist bei Wordpress, dass die Installtion, Plugins und Theme immer!! auf dem neusten Stand sind. Ist das bei dir der Fall?

Waren zu dem Zeitpunkt leider nicht ganz aktuell. Ist aber nun behoben, und sollten automatisch aktualisiert werden.

Zitat von Ganzjahresgriller

Wie ist denn die Wordpress Installation bei Dir abgesichert? 2FA, Security Plugins etc.

Bisher kein 2FA, habe ich aber nun geändert. Andere Security Plugins habe ich keine außer Wordfence. Gibts weitere Empfehlungen?

Zitat von Olivetti

Hier handelt es sich doch um einen erfolgreichen Login in deine WP-Installation.

Je nach Linux-Kenntnissen bleibt ja nur, logfiles auswerten und diff einer Vergleichsversion erstellen etc. oder halt plattmachen und neu erstellen bzw. Backup vom Datum vor dem Angriff zurückspielen.

Meine Linux-Kenntnisse sind fast 0, deswegen wüsste ich nicht wo ich anfangen soll.

Aber ja, für mich sieht es auch so aus als ob der Login IN meine WP-Installation erfolgte VON der fremden Seite. Nicht umgekehrt.

Deswegen bin ich so verwundert über die Aussage des Betreibers der anderen Seite.

Zitat von Homwer

Das klingt alles sehr mysteriös

Du schreibst, dass der Login von einer anderen Webseite, kleiner IT-Dienstleister, kommt.
Woher weist du das?

Ich würde an deiner Stelle ein Backup von vor dem Login einspielen und sofort auf die neuste Version updaten, passwörter ändern und plugins deaktivieren die du nicht brauchst.
Wenn du sowieso WordGuard drauf hast, solltest du auch die 2FA aktivieren.

Dass der Login von der anderen Webseite kam, hat mir Wordfence angezeigt (Anhang).

Habe nur die IP-Adresse und die www geschwärzt (weiß nicht ob ich das muss, kann es auch ungeschwärzt hochladen), aber da ist klar ersichtlich, dass der Zugriff von der anderen Webseite kam.

2FA habe ich nun aktiviert und alles upgedated.

Danke vielmals an alle!

Bin natürlich weiterhin dankbar für alle Sicherheits-Tipps, aber vor allem darauf wie ich analysieren kann was zu dem Zeitpunkt tatsächlich passiert ist.

Zitat von Hille

Wordfence reicht aus. Diese "Sicherheits-Plugins" sind immer mit Vorsicht zu genießen. Ich habe mal einen kurzen Check auf deine Seite gemacht, sieht erstmal nicht nach Problemen aus. Trotzdem würde ich dir empfehlen, die Seite nochmal anzuschauen, ob eventuell Schadcode vorhanden ist

https://sitecheck.sucuri.net/r…/www.satya-yogazentrum.de

Vielen Dank!

Zitat von Olivetti

Wie, Backup zurückgespielt und upgedatet oder einfach nur upgedatet?

Bei Letzterem weißt du nie, was evtl. sonst noch aufgespielt wurde (backdoor).

So würde ich das auch sehen.

Schau in die logs deines webservers und suche nach der IP. Dann läßt sich klären, ob der login einmalig war.

Erstmal nur upgedatet. Bevor ich ein backup einspiele würde ich gern erst noch rausfinden, welcher Stand hier überhaupt sinnvoll ist.

Aber werde es im Zweifelsfall auf jeden Fall noch machen.

Bzgl. der Logs:

Hier bin ich bereits mit meinem Latein am Ende, das ist alles was im Log zu der fraglichen IP vorhanden ist:

HTTP/1.0" 200 1762 "-" "WordPress/6.4.1; https://www.satya-yogazentrum.de"
136.243.83.218 - - [30/Nov/2023:13:59:53 +0100] "GET /wp-login.php HTTP/1.0" 200 9340 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
136.243.83.218 - - [30/Nov/2023:13:59:56 +0100] "GET /wp-login.php HTTP/1.0" 200 9340 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
2a03:4000:30:358b::11:3786 - - [30/Nov/2023:13:59:55 +0100] "POST /wp-cron.php?doing_wp_cron=1701349195.0180070400238037109375 HTTP/1.0" 200 413 "-" "WordPress/6.4.1; https://www.satya-yogazentrum.de"
136.243.83.218 - - [30/Nov/2023:13:59:56 +0100] "POST /wp-login.php HTTP/1.0" 302 1315 "https://www.satya-yogazentrum.de/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
136.243.83.218 - - [30/Nov/2023:13:59:58 +0100] "GET /wp-admin/ HTTP/1.0" 200 156380 "https://www.satya-yogazentrum.de/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
136.243.83.218 - - [30/Nov/2023:14:00:01 +0100] "GET /wp-json/wp/v2/users/me?context=edit HTTP/1.0" 200 3543 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
136.243.83.218 - - [30/Nov/2023:14:00:01 +0100] "POST /wp-json/wp/v2/users/me/application-passwords?_locale=user HTTP/1.0" 501 889 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"

Kann damit jemand etwas anfangen?

Auf mich wirkt es so, dass da jemand mein Passwort gewusst hätte und sich "ganz normal" eingeloggt hat. Sonst hätte ich doch mehrmalige Login-Versuche gefundne, oder?

Habe den Logauszug in Codetags gepackt, danke!

Bzgl. des Forums: Ich habe ehrlich gesagt kein besseres gefunden, wusste nicht wo ich diesen Beitrag verfassen soll. Sorry wenn er nicht im korrekten gelandet ist!

Und nochmals zur Frage der Reihenfolge:

1. Ich habe eine Mail von Wordfence über einen erfolgreichen Login auf meinem WP bekommen

2. Habe geschaut wer hinter der IP steckt und es kam eben dieser IT-Dienstleister raus -> Den habe ich direkt angeschrieben und um Aufklärung gebeten

3. Antwort kam: Anscheinend habe mein Server/WP den IT-Dienstleister per FTP angegriffen und Dateien auf deren Server geändert, die zitierte Antwort ist oben im ersten Beitrag

4. Nun bin ich weiterhin ratlos. Die Logs zur fraglichen IP-Adresse habe ich im vorigen Beitrag eingefügt.

Wordfence zeigt ansonsten keinerlei Auffäligkeiten, veränderte Dateien, Logins etc. an

Ich habe nur diese Aussage des Unternehmens, und in den Logs gibt es eben nur den erfolgten Login VOM Server des IT-Unternehmens AUF mein WP.

Wie würde ich denn eine ausgehende Kommunikation von meinem netcup/WP auf den anderen Server per FTP erkennen? Das müsste doch auch irgendwie protokolliert werden.

Zitat von tab

Da stellen wir uns doch mal janz dumm...

Kann der IT-Dienstleister irgendwelche stichhaltigen Beweise für seine Behauptung liefern, dass deine Zugangsdaten von Dir oder einem Dritten auf seinem Server abgelegt wurden? Wie kann es passieren, dass ein IT-Dienstleister per FTP(!!!) angreifbar ist und Dateien mit Zugangsdaten zu deiner WP-Installation/DB auf seinem Server abgelegt werden? In dem Fall sollte er eventuell mal seinen Server besser absichern, so dass nicht jeder x-beliebige Fremde per FTP Dateien auf seinen Server übertragen kann. Außer natürlich, wenn das in seiner Absicht liegt. Ein FTP Zugang sollte eigentlich passwortgeschützt sein. Und bei einem IT-Dienstleister erwarte ich, dass das Passwort nicht etwa "123456" ist. Er sollte also zunächst einmal auch SEINEN Server genauestens auf Hackerspuren untersuchen und ggf neu aufsetzen. Es klingt für mich auch ein wenig abstrus, ich frage mich, wer ein Interesse daran haben könnte, deine wp-config inkl DB Zugangsdaten auf den Server eines x-beliebigen IT-Dienstleisters zu übertragen?

Was er da schreibt, klingt in meinen Ohren überdies - ohne weitergehende Nachweise seinerseits - eher wie der Versuch einer billigen Ausrede dafür, dass er dein Wordpress "gehackt" hat und jetzt erwischt wurde und somit vom roten H eine Mail mit unangenehmen Fragen bekommen hat.

Vielen Dank für den Beitrag.

Diesen Verdacht habe ich inzwischen auch, und habe auch direkt nach konkreten Beweisen, Protokollauszüge, Screenshots etc, zu der Aussage gefragt.

Dazu gab es bisher keine Antwort.

Sorry, aber was ist das rote H?

Zitat von frank_m

Aber wie war der Login möglich? Woher hatten die die Zugangsdaten? Offenbar gabs ja keine Fehlversuche, die waren direkt im ersten Schuss drin. War dein Passwort so leicht zu erreichen?

Einen einzelnen gezielten Zugriff wirst du da kaum erkennen. Aber wenn es Schadcode auf deinem WP gibt, wird der ja nicht nur einen Server angreifen. D.h., in den Datenübertragungsstatistiken müsste man sofort sehen, wenn der Traffic stark ansteigt, vor allem der FTP Traffic.

Bei der Gelegenheit: Beinhalten die netcup Webhostings überhaupt ein FTP Client drin? Auf der Konsole hab ich keinen gefunden.

Das mit dem Login ist für mich auch tatsächlich die zentrale Frage.

Mein Passwort kann garantiert nicht per Wörterbuch-Angriff oder sonstwie erraten/gefunden werden.

Klar, es ist kein generiertes komplett kryptisches Passwort, aber eine Kombination aus Groß- Kleinschreibung, Zahlen, Sonderzeichen. 100% nichts was irgendjemand auf der Welt direkt finden könnte.

Das gibt mir tatsächlich am meisten zu denken, und darauf habe ich keine Antwort.