Posts by proxypunkl

    Sorry liebe Leute. Da regen sich Leute auf die m E. von den Systemen die Sie betreuen keine Ahnung haben. Es wird für eine Business kritische Webseite auf ein shared Hosting Angebot gesetzt und als CMS Wordpress. Bei wem es bis jetzt noch nicht geklingelt hat der sollte den Job wechseln

    Nein! Eine Firmenseite die unter WordPress läuft und dann nicht mal nen Dedicated Server, selbst für kleine Läden die kaum Geld in Webdesign oder Hosting stecken können - du hast Recht. Das ist ein Verbrechen an der Menschheit. Wir schicken in Zukunft alle Kunden nur noch zu den ganz teuren Hostern im Managed Tarif und bauen die Seite mit Typo3. Dann können wir wenigstens für jede Änderung und Update kräftig abkassieren, weil da kaum jemand durchsteigt. :D

    Zugangsdaten ändern: Ok. Aber ich sage es mal so: Seitdem ich sowohl Cronjobs als auch sämtliche Dateien auf dem Webspace gelöscht habe ist seit meiner Meldung/Ankündigung hier im Forum RUHE (fast eine ganze Woche). Davor hatte ich Cronjobs immer wieder gelöscht und WP bereinigt - es war ein Trauerspiel.

    Ich habe den leisen Verdacht, dass irgendeine Sicherheitslücke in Verbindung mit WP beim Wollmilchsauserver besteht. Es waren bei mir auch WP-Seiten betroffen, die ich quasi neu aufgesetzt hatte. Auch mit NinjaFirewall. Deswegen erscheint mir Server (Webserver/SSL/Firewall/ModSecurity Lücke) als Ursache plausibel.

    Danke an alle für die Hinweise.

    Richtig, genau. So ein Plugin bringt gar nichts, wenn sich jemand auf Server Ebene an den

    Sicherheitsmechanismen vorbeisch schlängelt.

    Ich habe bei einer Wollmilchsau allerdings nicht so wirklich Spielraum was die Konfiguration der Serversicherheit angeht.

    Und die NinjaFirewall blockt schon ne Menge.

    BTW: XMLRPC war nicht aktiv.

    Der NinjaScanner ist auch realtiv zuverlässig. Wenigstens erkennt er abweichungen von den Originaldateien.

    Aber klar, vielleicht ist noch irgendwo Schadcode versteckt (vielleicht ne Art RootKit - hrhr - Wortspiel).

    Aus diesem Grund habe ich vorsorglich alle Dateien auf dem Webserver entfernt.

    Es liegen nur noch html Platzhalter in den Ordnern der entsprechenden Domänen

    und das auch nur so lange, bis der neue Webspace bereit steht.

    Melde mich wieder, sobald der nächste Cronjob kommt.

    Habe ein ganz unwohles Gefühl, dass sie wiederkommen.


    Ich habe tatsächlich merkwürdige Anfragen in der access.log gefunden, die ich hier aus Sicherheitsgründen nicht voll posten werde.
    Die Anfragen sehen in etwa so aus:

    x16\x03\x01\x00\xB1\...

    Der Support wurde informiert.

    Ein Cronjob, der eine base64 encodierte Funktion ausführt, die Dateien erstellt, die dann mittels Header Injection ausführbaren Code aufrufen.
    Ich weiß leider nicht genau, wann die Seite aufgerufen wurde. Zwischen den ganzen anderen Einträgen im access.log (die Seiten sind ja gut besucht - speziell von Bots heutzutage) steig ich nicht durch.
    Schon beim letzten Mal hatte ich beim Support um Hilfe gebeten, dass die da mal reinschauen.
    Wenn du eine Idee hast, wie ich das irgendwie ausfindig machen kann, schieß los! :)

    Wenn ich von dem Kollegen oben lese, dass überhaupt keine ausführbaren PHP Dateien mehr am Start waren -
    dann glaub ich langsam selbst, dass der Server einfach unsicher ist.
    Ich habe einen Wollmilchsau-Server, und jahrelang super zufrieden.
    Leider habe ich ja keine Möglichkeiten, irgendwelche übergreifenden Systemlogs einzusehen.
    Nur die Standard Logs halt.


    Nachtrag:

    Server ist wieder frei. Alles nochmal manuell gescannt und überprüft. Werde wohl für alle Fälle den gesamten Server frei räumen und nur noch per Mail betreiben lassen. Dass das mal öffentlich festgehalten ist. Ich melde mich hier wieder, falls es dann nochmal passiert.

    So, da möchte ich mich anschließen.

    Im April ist das gleiche bei mir passiert.
    Danach komplett und rigoros jede noch so kleine Seite manuell gescannt, abgesichert, hastenichtgesehen.

    Gestern wieder ominöse Cronjobs mit Exploit.
    Wieder Abuse wegen angeblichem Spam.
    Der Spam besteht allerdings darin, dass der fehlgeschlagene Cronjob Benachrichtigungsmails an die Server-Admin Mail verschickt (in meinem Fall ist es meine eigene Mailadresse an meiner eigenen Domain auf einem - tadaaa - weiteren Netcup Server).
    Ich hatte gestern sogar alle unbenutzen Domains gesperrt und ggf. alte PHP Versionen auf 8.x umgestellt.
    Dann kam wieder die Abuse meldung, Serversperre. Zunächst antwortete man mir noch,
    nach meinem Hinweis, dass ich bereits alle nottwendigen Schritte unternommen hätte,
    Kontaktabbruch. Heute morgen halbe Stunde vergebens per Telefon versucht zu erreichen.
    Dann Mail per Support Form geschickt.

    Ich bin technisch "etwas" versiert und habe den Fehler auch lange und breit bei mir gesucht.
    Aber wenn ich sowas lese, dann kommen mir langsam Zweifel, ob die Server wirklich gut genug technisch abgesichert sind.


    Wenigstens an die Domains komme ich im CCP noch ran, aber selbst wenn, bringt mir das nichts viel, denn:

    Ich komme ja nicht mal an die Mails zum backuppen ran! xD


    Ich finde es auch wirklich schade, dass ich das hier an dieser Stelle öffentlich schreiben muss und klar, es sind noch keine 24h um,

    aber meine Kunden warten auf ihre Mails.


    Nachtrag:
    Es wurde reagiert, ich bin kurz davor die WordPress Seiten selbst komplett umzuziehen und nur Mail laufen zu lassen.
    Aber irgendwie wenn ich mir den Initial-Post so anschaue... ob das Sinn macht. :D

    Schade, habe das Domain-Alias Feature auch schmerzlich vermisst. Gut, 301 Weiterleitung geht natürlich auch, exklusive Mailweiterleitung... Aber ich schätze, man muss bei dem Preis (WollmilchSau) Abstriche machen... Versucht euch das jetzt bitte nicht bildlich vorzustellen. xD