Wordpress - Gehackt..?

    Hallo,


    ich habe in httpdocs eine Wordpress Installation gefunden die dort von ausserhalb angelegt wurde.


    Wie kann ich die Sicherheitslücke finden?


    Danke voraus.

    Hast Du die vielleicht einmal über Plesk selbst installiert? Weil eine vollständige WP-Installation in Folge eines Angriffs höre ich jetzt zum ersten Mal, das wäre etwas untypisch.


    Was läuft denn sonst in Deinem Webhosting-Paket? Ohne mehr Details kann man unmöglich weitere Tipps geben...

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 1

    Hallo,


    die wp-config die dort angelegt war hat eindeutig eine Remote Verbindung zu einem Server in den USA.


    Ich vermute dass eine Wordpress Sicherheitslücke genutzt wurde.


    Clamscan hat auf jeden Fall nichts verdächtiges gemeldet.


    Ich vermute wegen der fehlenden Berechtigung konnte er meine wp-config nicht überschreiben (im document root war neben dem kompletten wordpress verzeichnis mit Installation auch eine wp-config-sample ) bzw. war es ihm auch nicht möglich aufgrund der Apache Konfiguration auf seine wp-login zuzugreifen.


    Auf jeden Fall waren alle Wordpress Installationen (8) auf dem Server betroffen.

    Es ist also alles eindeutig. Sicherheitshalber hat Dokument Root noch 550 bekommen.


    Ich werde die Sache jetzt erstmal beobachten.

    in der wp-config war eine IP eingetragen DB-Name/User und Passwort


    Code
    define( 'DB_HOST', 'xxx.xxx.xxx.xx' );

    Ich hab alles testweise auf einer anderen Maschine installiert.


    Ist aber nur die WP Fehlermeldung gekommen - Datenbank Fehler - keine Verbindung ect..


    Wordpress/PlugIns und das System, alles auf dem neuesten Stand.

    Ja, soweit habe ich die natürlich auf verdächtiges untersucht.


    Schreib mir aber gerne deine Idee bzw. deinen Vorschlag.


    System ist Ubuntu 20.04 und Plesk.


    Danke voraus.

    Wie gesagt, man muss direkt mal drauf schauen können, welche Plugins, Theme und welche WordPress Version installiert simd. Dazu per ftp durchschauen, ob verdächtige Dateien oder Änderungen vorhanden sind. Bei Interesse kannste mich gerne direkt per PN anschreiben