360lock.php - Webseite wordpress plötzlich nicht mehr Erreichbar - 403 Forbidden nginx

Patrick0815 · 3. Februar 2024

Zitat von Real-DD-2

Glaube entweder arbeitet die Infektion weiter oder jemand ist gerade am Webhosting / im Account aktiv. Der Ordner mit der Webseite wurde umbenannt und am Ende wurde .loeschen dran gehängt.

Keine Ahnung, ich halte euch auf dem laufenden, wenn es ein Update gibt. Auf jeden Fall ist der Account / Website / Ordner völlig verseucht.

Sieht nicht danach aus als ob sich das mit den im WCP gebotenen Möglichkeiten lösen lässt.

Auch bei einem Restore würde ich die Daten in einem isolierten Bereich wiederherstellen lassen, die Seite ist ansonsten vermutlich schneller wieder verseucht bevor du Plugins, etc aktualisieren kannst.

Olivetti · 3. Februar 2024

Zitat von Real-DD-2

Es sind auch andere Webseiten betroffen.

was bedeutet das genau – deine anderen webseiten im selben kundenkonto (CCP) oder generell?

Real-DD-2 · 3. Februar 2024

Zitat von Olivetti

was bedeutet das genau – deine anderen webseiten im selben kundenkonto (CCP) oder generell?

Es scheint generell sehr viele Webseiten zu geben die Betroffen sind.
Bei mir im ccp / Kundenkonto sind / waren mehrere Webseiten Betroffen.

Ich konnte jetzt das Backup vom WP-Toolkit einspielen.

Webseitenordner löschen
neu erstellen
Backup files manuell hochladen
Datenbank einspielen
Passwörter ändern

Ich werde mich aber morgen nach dem schlafen nochmal genauer damit befassen.

Hier fand die initiale Infektion statt: 2024-01-31 06:54:23

Zitat

Site data was refreshed and stored in cache. The site was quarantined with the following issue: Unable to finish running an operation on this site in 60 seconds. Operation was canceled. This is most likely caused by a server load spike, uncommon directives in wp-config.php, or a malware infection. Try running the operation again later. If this problem persists, make sure there are no customizations in wp-config.php that could slow down parsing this file, and consider checking the website for viruses and malware.

Olivetti · 3. Februar 2024

glückwunsch.

aber woher kam jetzt das »manuell hochgeladene backup«?

Real-DD-2 · 3. Februar 2024

Zitat von Olivetti

aber woher kam jetzt das »manuell hochgeladene backup«?

Das war das WP-Tookit-Backup bei was bei der Aktualisierung von Wordpress angelegt wurde.
Ein "Widerherstellen" ging ja nicht. Der Manuelle Weg hat dann aber funktioniert. Ich habe jetzt auch ein backup nochmal gezogen und auf platte gelegt. Außerdem das Passwort vom ccp geändert und 2fa aktiviert. Werde noch die Datenbankpasswörter ändern und offline nehmen was nicht online sein muss. Dann reichts für heute

Eigentlich wollte ich Harry Potter gucken, nach der hälfte hat meine Frau angemerkt, dass die Webseite nicht geht.
Naja, Backups sind das a und o.
Werde ich jetzt auch beim Webhosting so machen.

Olivetti · 3. Februar 2024

ist WP denn jetzt auch auf dem neuesten stand?!

nicht dass du morgen früh murmeltiere grüßen musst.

Real-DD-2 · 3. Februar 2024

Ja ist es
Habe ja zur Not jetzt ein Backup lokal

Real-DD-2 · 10. Februar 2024

Guten Abend,

also es hat sich zugetragen, dass die Bereinigung nicht funktioniert hat.

Oder nur Teilweise. Netcup selbst kann / will mir per Ticket nicht helfen. Vielleicht hat ja jemand von euch eine Idee.

Die Startseite geht, alle anderen Seiten haben im wp-admin backend bekommen:
pasted-from-clipboard.png

Dabei komme ich aber auf das allgemeine Dashboard. Also der Login geht, ich sehe das Dashboard von WordPress aber weiter komme ich nicht.

Auf der Webseite selbst geht die Startseite also http://www.domain.com

Aber keine einzige Unterseite. Da erhalte ich:
pasted-from-clipboard.png

Die Sicherheitsmaßnahmen von WP-Tookit die netcup integriert hat habe ich alle befolgt:
pasted-from-clipboard.png

Bei dem alten Backup habe ich genau das gleiche Fehlerbild:

pasted-from-clipboard.png

Wenn meine Frau nicht so viel Arbeit in die Webseite gesteckt hätte würde ich alles neu machen aber so muss ich es erstmal versuchen
Plugins habe ich diese installiert:
pasted-from-clipboard.png

Beim Live Debugging kommt nur das raus (debug.log in der wp-content)

Code

[10-Feb-2024 20:17:22 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:23 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:26 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:26 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:27 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:37 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:42 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:43 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:43 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:45 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:47 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:51 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:52 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:53 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:54 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:20:50 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:20:51 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:20:53 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:20:54 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:20:55 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494

Alles anzeigen

Hat jemand eine Idee oder kann helfen ?

Hille · 10. Februar 2024

Schreib mir mal per PN. Ich würde mir das mal anschauen.

Real-DD-2 · 11. Februar 2024

Es lag an wp-toolkit. Danke Hille

Den kram verwende ich nie wieder.

Allerdings habe ich eine Frage an allen anderen noch:
Ich habe jetzt wp-toolkit gelöscht bzw. deaktivert und seitdem ist auf der Webseite php 7.2 aktiviert:
pasted-from-clipboard.png

leider kann ich es nicht ändern:
pasted-from-clipboard.png

Auf anderen Seiten jedoch schon....
pasted-from-clipboard.png

Es geht auch nicht in den Hosting Einstellungen:
pasted-from-clipboard.png

Hat jemand eine Idee woran das liegt?

Ich gebe zu dieses Plesk gedöns und Webservice kram finde ich mittlerweile sehr...unangenehm Dachte damit spart man sich Arbeit aber bisher habe ich damit nur mehr Arbeit.

nitram · 11. Februar 2024

Schau mal bei Apache und Nginx

Wenn Proxymodus aus ist, dann gibts leider nur php 5.6 bis 7.2

Screenshot_20240211_132639_Chrome.jpg

Real-DD-2 · 11. Februar 2024

oh man darauf wäre ich nie gekommen. Danke!

Allerdings mit php 8.2 erhalte ich wieder im backend auf den Seiten das:
pasted-from-clipboard.png

Das doch alles nicht normal :s

Hille · 11. Februar 2024

Teste mal php 8.1. obwohl ich nicht glaube, dass das damit zusammenhängt

Real-DD-2 · 11. Februar 2024

habe alle durchgetestet. Immer das gleiche Problem.

Ich werde die Daten nehmen und neu aufsetzen. Vielleicht ein anderer Hoster das mit diesem Plex kram nervt mich gerade total.
Ich komme mit dem zeug nicht klar.

KB19 · 11. Februar 2024

Bei einem Error 403 sollte etwas im Error-Log der Domain stehen. Schon nachgeschaut?

Hille · 11. Februar 2024

wp-toolkit ist immer noch deaktiviert ?

Real-DD-2 · 11. Februar 2024

Code

2024-02-11 15:35:22    Error    ##IP##    404    GET /wp-emoji-release.min.js HTTP/1.0        Mozilla/5.0 (Linux; Android 10; VOG-L29) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.79 Mobile Safari/537.36    55.9 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:35:22    Access    ##IP##    301    GET //##WEBSITE##/wp-includes/js/dist/interactivity.min.js HTTP/1.0        Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36    590    SSL/TLS-Zugriff für Apache
2024-02-11 15:35:22    Access    ##IP##    301    GET //##WEBSITE##/wp-includes/blocks/navigation/view.min.js HTTP/1.0        Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 Edg/84.0.522.52    591    SSL/TLS-Zugriff für Apache
2024-02-11 15:35:32    Access    ##IP##    301    GET //##WEBSITE##/wp-includes/js/dist/interactivity.min.js HTTP/1.0        Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36 SLBrowser/8.0.0.3161 SLBChan/10    590    SSL/TLS-Zugriff für Apache
2024-02-11 15:35:32    Access    ##IP##    301    GET //##WEBSITE##/wp-includes/blocks/navigation/view.min.js HTTP/1.0        Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36    591    SSL/TLS-Zugriff für Apache
2024-02-11 15:35:32    Error    ##IP##    404    GET /wp-emoji-release.min.js HTTP/1.0        Opera/9.80 (Windows NT 6.1; U; en) Presto/2.7.62 Version/11.01    55.9 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:36:51    Error    ##IP##    403    POST /wp-admin/admin-ajax.php HTTP/1.0    https://##WEBSITE##/wp-admin/    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:36:51    Error    ##IP##        AH01797: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-admin/admin-ajax.php, referer: https://##WEBSITE##/wp-admin/                Apache-Fehler
2024-02-11 15:38:52    Error    ##IP##    403    POST /wp-admin/admin-ajax.php HTTP/1.0    https://##WEBSITE##/wp-admin/    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:38:52    Error    ##IP##        AH01797: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-admin/admin-ajax.php, referer: https://##WEBSITE##/wp-admin/                Apache-Fehler
2024-02-11 15:40:53    Error    ##IP##    403    POST /wp-admin/admin-ajax.php HTTP/1.0    https://##WEBSITE##/wp-admin/    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:40:53    Error    ##IP##        AH01797: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-admin/admin-ajax.php, referer: https://##WEBSITE##/wp-admin/                Apache-Fehler
2024-02-11 15:42:54    Error    ##IP##    403    POST /wp-admin/admin-ajax.php HTTP/1.0    https://##WEBSITE##/wp-admin/    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:42:54    Error    ##IP##        AH01797: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-admin/admin-ajax.php, referer: https://##WEBSITE##/wp-admin/                Apache-Fehler
2024-02-11 15:44:55    Error    ##IP##    403    POST /wp-admin/admin-ajax.php HTTP/1.0    https://##WEBSITE##/wp-admin/    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:44:55    Error    ##IP##        AH01797: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-admin/admin-ajax.php, referer: https://##WEBSITE##/wp-admin/                Apache-Fehler
2024-02-11 15:45:56    Error    64.227.146.23    403    POST /wp-login.php HTTP/1.0        Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:45:56    Error    64.227.146.23        AH01630: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-login.php                Apache-Fehler
2024-02-11 15:46:13    Error    141.95.143.156    403    POST /wp-login.php HTTP/1.0        Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:46:13    Error    141.95.143.156        AH01630: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-login.php                Apache-Fehler
2024-02-11 15:46:56    Error    ##IP##    403    POST /wp-admin/admin-ajax.php HTTP/1.0    https://##WEBSITE##/wp-admin/    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:46:56    Error    ##IP##        AH01797: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-admin/admin-ajax.php, referer: https://##WEBSITE##/wp-admin/                Apache-Fehler
2024-02-11 15:48:57    Error    ##IP##    403    POST /wp-admin/admin-ajax.php HTTP/1.0    https://##WEBSITE##/wp-admin/    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36    1.18 K    SSL/TLS-Zugriff für Apache
2024-02-11 15:48:57    Error    ##IP##        AH01797: client denied by server configuration: /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-admin/admin-ajax.php, referer: https://##WEBSITE##/wp-admin/                Apache-Fehler

Alles anzeigen

Real-DD-2 · 11. Februar 2024

Achso, ja Hille Toolkit ist deaktiviert.

Habe es jetzt alles durch ich denke es liegt an Netcup. Irgendwas ist bei meinem Tarif verhunzt.
Habe es auf neuer Domain installiert im anderen Ordner und überall das gleiche Problem.

KB19 · 11. Februar 2024

Kannst Du es mal sicherheitshalber mit einer anderen IP-Adresse testen? Also z.B. übers Handy oder die DSL-Verbindung trennen und neu aufbauen.

Real-DD-2 · 11. Februar 2024

Ich habe in der cli jetzt die Dateien in einen neuen Ordner kopiert und die Datei und Verzeichnisberechtigungen gesetzt. Dann habe ich den docroot der Webseite auf das neue Verzeichnis gesetzt und plötzlich geht es wieder.

aber ja, ich hatte auch mit VPN aus anderen Ländern versucht, auch mit Handy und bei bekannten gefragt. Es war nicht lokal bei mir das Problem.