360lock.php - Webseite wordpress plötzlich nicht mehr Erreichbar - 403 Forbidden nginx

Guten Abend,

meine Frau wollte gerade auf Ihre Webseite, da hat sie das 404 Bild bekommen.

403 Forbidden
nginx

Also habe ich im ccp mal gesehen was da los ist und es wurde eine Meldung gezeigt, dass es wohl eine Infektion gab, daher war die Seite im Quarantäne Modus.

Dann habe ich "erneut Prüfen" geklickt und es hat sich nichts geändert. Bei einer eigenen Installation auf einem Dedizierten Server könnte ich ja jetzt ein paar sachen testen und machen wie z.b. meine Backups einspielen etc.

Das ist aber ein Managend Webhosting. Was mir auch überhaupt nicht gefällt ist das in der Datenbank wohl gar nichts sein soll:
Tabellen: 0Größe: 0 B

Bei Websites & Domains sehe ich das:
pasted-from-clipboard.png

Mir wird ein bisschen schlecht bei der Vorstellung, dass plötzlich alles weg sein soll.

Die Daten der Installation selbst sind noch da in "httpdocs/websitename"

in httpdocs habe ich aber komischere Dateien wie z.b. "lock360.php" die mir nicht bekannt sind.

Die Webseite selbst war mit allen gängigen von Netcup empfohlenen Sicherheitsfeatures eingestellt. inkl. automatischer Aktualisierung. Es kann auch nicht lange her sein, da kam eine E-Mail das Wordpress aktualisiert wurde.

Kann jemand helfen ? z.b. Moderatoren ?

Nachtrag:

pasted-from-clipboard.png

Ich bin mir jetzt ziemlich sicher, dass meine Webseite angegriffen wurde bzw. mein Webhosting. Ich hoffe Netcup kann mir helfen meine Webseite / Daten davon wieder zu erlangen.

Die Absicherung wurde durch Netcup gemacht, bei der Installation gabs einen Wizard zum härten und einrichten.

Nein, von dem Managaned Webhosting habe ich keine gesonderten Backups, weil ich diesen Service in Anspruch genommen habe um mich nicht zusätzlich kümmern zu müssen.

Heute um 16:45 Uhr muss es einen Angriff / Infektion gegeben haben. Da aber die Datenbank leer ist kann ich da nicht viel wieder herstellen.
Die Integrität der Dateien ist nicht gesichert. Es sind auch andere Webseiten betroffen.

Ich habe ein Ticket auf gemacht aber bin mir nicht sicher ob das zu "Notfall" gehört, wenn man "gehackt" / Angegriffen bzw. infiziert wurde.

Zitat

Support per Telefon

Sie brauchen schnelle Hilfe? Unser Team von erfahrenen netcup-Technikern ist für Sie da von Montag bis Freitag 9-17 Uhr (MET).

+49 721 754 0 755 0

Notfall-Support

Ihr Webaccount oder Server ist nicht erreichbar? Vermuten Sie einen technischen Ausfall oder eine Störung? Bei netcup verstehen wir, dass eine reibungslose Online-Präsenz entscheidend ist. Falls Sie auf Unregelmäßigkeiten in der Erreichbarkeit Ihres Webaccounts oder Servers stoßen, bieten wir Ihnen transparente Informationen über mögliche Störungen. Besuchen Sie unsere Seite netcup Störungen, um aktuelle Meldungen zu technischen Ausfällen einzusehen, und informieren Sie sich, ob die Störung bereits bekannt ist. Wenn nicht, erreichen Sie einen unserer Techniker rund um die Uhr direkt über diese Telefonnummer: +49 721 754 0 755 5

Alles anzeigen

Auf jeden Fall ist das ziemlich ärgerlich.

Ohje! Der Notfall Support kostet 40€ Pro 15 Minuten! Das ist ja Wahnsinn

Glaube das hängt auch hiermit zusammen:
https://forum.netcup.de/netcup…dden-jedesmal/#post216331

Zitat von Bud

Wenn es ein managed Produkt ist, und du wurdest gehackt, ist das in meinen Augen ein Notfall. Mal abgesehen davon das deine Website nicht erreichbar ist, wurden deine Daten kompromittiert ⇾ Notfall

Sehe ich ähnlich aber der würde mich jetzt 40€ pro 15 Minuten kosten. Bin ich auch gerade etwas Baff.

Ich habe gerade mal geschaut, ich habe tatsächlich dieses feature genutzt von Netcup, dass WordPress gehärtet wird. Auch überall generierte Passwörter verwendet.
Da die Datenbank von der einen Webseite aber leer ist kann ich da nicht viel retten.

Ich werde wahrscheinlich warten müssen bis am Montag sich darum jemand kümmert und das wird wahrscheinlich und hoffentlich (mindestens) sein, dass ich ein Backup eingespielt bekomme.

Das letzte mal als ich das brauchte ist bestimmt schon 10 Jahre her, bin ja seit je her Kunde bei Netcup. Da wars aber n vServer und meine Schuld und dann hat das paar EURO gekostet. Mal schauen was jetzt passiert aber im Moment sind mir die Hände gebunden.
https://wordpress.stackexchang…cted-to-my-wordpress-site

Diese Art von Virus gibt es scheinbar schon eine weile. Sollte das stimmen:

Zitat

The lock360.php hack runs in memory to regenerate the malicious code, so after following Rick Hellewell's answer, make sure to restart the php process. In my case I restarted the server.

kann ich halt nur warten. Denn den Server wrde ich wohl nicht neu starten können.

Zitat von Patrick0815

Sollte es doch ein normales Webhosting sein, gibt es dort Restores der freiwilligen Backups die man sich einspielen lassen kann.

Ja, naja das meinte ich ja. Ein Webhosting. Das ist m.M. nach immer "managend", weil sich der Anbieter um die Infrastruktur kümmert und die Möglichkeiten ja begrenzt sind. Das meiste übernimmt der Anbieter ja. Ich kann zwar E-Mail Adresse anlegen und Dateien und Datenbanken aber das Management der Sachen liegt ja nicht bei mir. Die Datei und verzeichnisrechte werden ja nicht durch mich verwaltet. Mailware detection kann ich nicht manuell einrichten. Auch Daten widerherstellen kann ich nicht oder tiefergehende Analysen machen. Spannend, dass die Logs der Webseite, speziell die Accesslogs" leer sind.

"Freiwillige" Backups bzw. den Menüpunkt habe ich tatsächlich gerade gesehen. Wenn der schon immer da war, dann ist er mir nie aufgefallen.

>> Ich hoffe, dass ich das nicht benötige und in diesem Fall Netcup unterstützt. Ich wüsste zumindest nicht in wie fern ich hätte etwas anders oder besser machen können

1. Wordpress wurde nach netcup vorgaben installiert und gehärtet

2. Aktualisierungen wurden gemäß der Vorgaben gemacht

3. Alle Passwörter wurden mit den von Netcup vorgegeben "generieren" Passwörtern erstellt.

Zitat von Olivetti

nach meinem verständnis ist webhosting ja grundsätzlich »managed«.

Sehe ich ähnlich.

Zitat von Hille

Wurden auch alle Plugins und Theme immer aktuell gehalten ?

Vermutlich, es gibt ja die Funktion in Wordpress diese Automatisch zu aktualisieren. Das war aktiviert.

Zitat von Hille

Schau doch mal z.b per phpmyadmin, ob die Datenbank wirklich leer ist.

Habe ich, die ist tatsächlich komplett leer.

pasted-from-clipboard.png

Aber auch das Backup geht nicht mit der Fehlermeldung:
pasted-from-clipboard.png

Echt ärgerlich die Situation

Die letzte Änderung ist schon eine Weile her. Es wäre nicht schlimm, wenn es 7 Tage her ist. Aber 2 Tage (Wochende) können bei 7 Tagen ja schon was ausmachen.

Generell müsste ich ja alles bereinigen und alles komplett löschen. Denn überall gibt es Ordner und Dateien die auf eine Infektion hinweisen.

Das Backup welches Netcups system selbst erstellt hat kann ich nicht einspielen, auch das erstellen einer neuen wp-config hilft nicht.

Glaube entweder arbeitet die Infektion weiter oder jemand ist gerade am Webhosting / im Account aktiv. Der Ordner mit der Webseite wurde umbenannt und am Ende wurde .loeschen dran gehängt.

Keine Ahnung, ich halte euch auf dem laufenden, wenn es ein Update gibt. Auf jeden Fall ist der Account / Website / Ordner völlig verseucht.