Olivetti :
Vielen Dank nochmals an dieser Stelle für deine Hilfe!
Habe dir auch die Datenbank geschickt.
Was würde das mit dem application password denn bedeuten? Verstehe es nur so halb, vor allem steht doch in dem Log "501", was ja bedeuten würde, dass der Server diese Anfrage nicht akzeptiert hat.
Nur für mein Verständnis: Wenn es dieses application password geben würde, hätte jemand uneingeschränkten Zugriff auf mein wordpress gehabt ohne echten Benutzer?
Alles anzeigenevtl. so (dann ist es auch dokumentiert):
0. im datei manager des WCP die anzeige versteckter dateien (dotfiles) anschalten, falls nicht standardeinstellung.
1. verzeichnis /z-www anlegen (im / [root] des webhostings, nicht in /httpdocs)
2. inhalt + unterverzeichnisse von /httpdocs nach /z-www verschieben (nicht httpdocs direkt umbenennen – /httpdocs einfach leer stehenlassen)
3. datenbank exportieren via phpmyadmin im WCP
extra (zippen sollte im datei manager funktionieren):
4. verzeichnis /z-www zippen -> /z-www.zip
5. verzeichnis /logs zippen -> /logs.zip
bescheid geben, ob sensible daten enthalten sein könnten (kunden, bilder, firmendaten etc.)
Alles erledigt, und gezipptes Verzeichnis sowie Datenbank und logs lokal gespeichert.
Sensible Daten gibt es zum Glück nicht.
das war schon mehr rhetorisch gemeint. in deiner wp-config stehen die daten zur datenbank.
falls deine seite noch normal online ist, wäre es zeit das ding platt zu machen.
edit: dann sag mal kurz an, in welchem verzeichnis dein WP läuft (oder screenshot vom datei manager im WCP).
das solltest du verschieben, und nicht einfach via WP deaktivieren.
httpdocs.
Ok, danke, werde ich machen!
Luke42 Mal ein paar andere Fragen, da das womöglich unterging...
- Hast Du die Inhalte Deines gesamten Webspaces (inkl. Datenbanken!) mittlerweile komplett heruntergeladen bzw. extern/offline gesichert?
- Ist Deine Wordpress Instanz noch immer online und erreichbar? Alleine aufgrund des nicht authorisierten Adminlogins würde ich persönlich die jedenfalls offline nehmen, solange nicht restlos geklärt ist, woher die Zugangsdaten stammen und was der Angreifer alles anrichten konnte. Der erfolgreiche Login war vielleicht nur die Spitze des Eisbergs und die Installation ist vielleicht sowieso schon länger kompromittiert.
Beides ja.
Habe nur leider das Gefühl, dass meine Fähigkeiten und mein Wissen hier nicht wirklich ausreichen, das restlos aufzuklären 
Mein laienhaftes Wordfence scannen, Serverlogs durchsuchen, Dateien und Statisiken auf dem Server anschauen hat bisher leider absolut nichts ergeben.
Das war die Frage. Kannst du sicher ausschließen, dass die Dateien von dir sind? Das wäre dann ein Hinweis darauf, dass der Upload nicht von dir kam.
Also 100% ausschließen kann ich hier ja leider nichts. Theoretisch könnten das ja irgendwelche generierten Dateien sein.
Jedenfalls sind diese 3 Dateien weder auf meinem Server auffindbar, noch in den Logs sichtbar.
Also zu 99% würde ich sagen, sie sind nicht von meinem Server.
ja klar kann das via angreifbares plugin geschehen sein.
und wo stehen denn deine zugangsdaten?!
Ja, nirgends. Also jedenfalls nicht, dass ich wüsste.
Mein Passwort ist absolut garantiert einzigartig auf der Welt und steht nirgends außer in meinem Kopf. Es muss wohl irgendwie abgefischt worden sein.
In der Zwischenzeit habe ich natürlch alle PWs geändert und wenn möglich auf 2FA geändert.
Bei einer Sicherheitslücke findet kein klassischer Login statt. Da verschafft man sich über andere Wege Zugriff auf die Server. Der FTP Upload am morgen, der könnte durch eine solche Lücke entstanden sein. Der Login am Nachmittag fand mit regulären Zugangsdaten statt, deshalb auch die Meldung von Wordfence.
Und das sind auch deine Dateien? Das war ja noch eine der offenen Fragen.
Schau mal in die wp-config.php.
Ob es meine Dateien waren weiß ich nicht. die wp-config z.B. ist ja auf der Wordpress-Installation vorhanden.
Bei mir auf dem Server sieht so normal aus, beinhaltet halt die Datenbank und deren Zugangsdaten, aber natürlich nicht meine WP-Zugangsdaten.
Was die Dateien für einen Inhalt hatten, die dort geputtet wurden, weiß ich natürlich nicht. Mir wurden nur die Logs zugeschickt, nicht die Dateien selbst.
Diese "reports2.js", "results.xml" und "resng.css" sind auf meinem Server z.B. überhaupt nicht vorhanden.
Oder verstehe ich das falsch?
Macht ja alles Sinn was ihr schreibt.
Dass mein Wordpress irgendwie gehackt wurde, ok.
Aber, dass jemand/ein Bot sowohl an meine Wordpress-Zugangsdaten als auch die FTP-Zugangsdaten des anderen Unternehmens kommt, will nicht in meinen Kopf.
Ich hatte tatsächlich noch nie in meinem Leben den Fall, dass jemand irgendwo meine Zugangsdaten gehackt hätte. Aber gut, irgendwann ist immer das erste Mal.
Kann es nicht sein, dass es, wie manche ja geschrieben haben, über ein veraltetes Plugin geschehen ist, also nicht wirklich über die echten Zugangsdaten, sondern eben über eine Sicherheitslücke?
In den PUTs stehen ja nur die Dateien. Ob da meine Zugangsdaten drin waren, ist ja erst mal nur eine (valide) Vermutung. Oder sehe ich das falsch?
Vielen Dank nochmals an all den wertvollen Input!
Alles anzeigenDie Frage ist, was als FTP Client benutzt wurde. Das kann ja auch der WP Client gewesen sein. Das könnte sich also irgendwo in den Server-Logs verstecken. "significo.de" ist die angegriffene Domain auf deren Seite?
Ich könnte mir was konstruieren:
- Deine Seite wurde gehackt
- In der Folge hat sie per FTP etwas auf deren Server hochgeladen, vielleicht automatisch, vielleicht nach einem Trigger
- Dabei könnte ebenfalls Schadcode gewesen sein, der auf der Gegenseite zur Ausführung kam
- Dieser Schadcode könnte dann wieder den Login bei dir ausgelöst haben. Deine Zugangsdaten sind ja offenbar mit übertragen worden.
Einige offene Fragen bleiben:
- Woher kamen die FTP Zugangsdaten, die nötig waren?
- Warum mussten sie eine Stellungnahme an ihren Hoster senden?
- Wer ist der "Antragsteller"?
Genau, das war die Seite.
Bzgl. der Frage zu den FTP-Zugangsdaten habe ich keine Ahnung.
Bzgl. der Stellungnahme und des Antragstellers:
Ich bin tatsächlich deren "Antragsteller", da ich ganz ursprünglich meine E-Mail sowohl an deren abuse-Mailadresse des Hosters sowie an die Firma selbst geschrieben habe. Von daher war ich da wohl der Auslöser für die Stellungnahme, sowie ich eben selbst der Antragsteller.
Obwohl ich selbst in einem (völlig anderen) IT-Bereich arbeite, merke ich wie wenig Ahnung ich von der ganzen Materie habe.
Wenn meine Seite gehackt ist/war, müsste ich doch alle möglichen Themen haben, bzw. sich Leute bei mir melden, dass meine Seite willkürlich fremde Server attackiert, ich Login-Infos in meinen Logs sehen. Wieso wird ausgerechnet dieses eine Unternehmen aus dem Nichts angegriffen?
Ich sehe auch in meinen netcup-Statistken zur Datenübertragung per FTP exakt 0,00 MB, diesen sowie letzten Monat.
Hallo zusammen,
nochmals vielen Dank für alle bisherigen Antworten, Tipps und Hinweise.
Das habe ich eben bekommen von meinem Kontakt der Firma, die meine Seite anscheinend angegriffen hat:
188.68.47.155 - sig [30/Nov/2023:06:34:02 +0100] "PUT /domains/significo.de/reports2.js" 200 3618
188.68.47.155 - sig [30/Nov/2023:06:34:04 +0100] "PUT /domains/significo.de/results.xml" 200 1054192
188.68.47.155 - sig [30/Nov/2023:06:34:04 +0100] "PUT /domains/significo.de/resng.css" 200 303
188.68.47.155 - sig [30/Nov/2023:06:34:04 +0100] "PUT /domains/significo.de/wp-login.php" 200 39877
188.68.47.155 - sig [30/Nov/2023:06:34:06 +0100] "PUT /domains/significo.de/wp-config.php" 200 10876
188.68.47.155 - sig [30/Nov/2023:06:34:07 +0100] "PUT /domains/significo.de/index.php" 200 599Wenn das so stimmt, dann kam der Angriff anscheinend von der IP meiner Seite um 6:34, und um ca. 13:59 hat sich dann jemand/etwas von deren Seite wiederum in meinem Wordpress eingeloggt.
Das ist alles immernoch höchst ominös für mich.
Kann sich da jemand einen Reim draus machen?
In meinen Logs finde ich keinerlei PUT, aber vielleicht suche ich ja nicht richtig!?
Danke, da kommen für eine meiner E-Mail-Adressen tatsächlich 2 Dinge hoch, allerdings von 2012 und 2019.
Sollte allerdings nicht relevant für Wordpress bzw. meine Webseite sein, da ich komplett andere Passwörter verwende, und auch nach 2019 mehrmals das Passwort meiner E-Mail-Adresse geändert habe.
https://t3n.de/news/sicherheit…wordpress-plugin-1594426/
Hast du eventuell dieses Plugin in Verwendung?
Danke für den Hinweis, aber nein. Alle meine Plugins hier:
Classic Editor
Elementor
Essential Addons for Elementor
Maintenance
UpdraftPlus
Wordfence Security
Direkte Hilfe gab es hier schon öfter im Forum! Sollte sich wider Erwarten niemand finden, installiere doch einfach ein neues Wordpress und lege deine Seiten mit den Inhalten wieder an, wobei du dann jeweils Wordpress, Theme und Plugins möglichst aktuell hältst.
Ich fühle mich immer unwohl beim Säubern. Dazu, eine Neuinstallation behebt ganz einfach, dass Übersehenes verbleiben könnte.
Edit: Auch da ich mich mit Wordpress nicht auskenne, eine Websuche nach "Wordpress hardening" sollte dir viele Antworten dazu geben, wie dein Wordpress sicherer werden kann.
Das würde ich dann im Zweifel mal machen. Danke!
Alles anzeigenKomisch, bei mir nicht. Hängt es vielleicht vom Produkt ab? Ich hab ein Webhosting 2000. Aber Wordpress scheint ein FTP zu beinhalten. Die Frage ist, ob es das Protokoll implementiert, oder auf System Executeables zurückgreift.
Aber nehmen wir die Antwort vom IT Dienstleister doch noch mal auseinander.
Warum mussten sie eine Stellungnahme an den Hoster senden?
Da steht nicht, wer Server und Client war.
Auf welche Datenbank oder User Passwörter? Auf ihre? Oder auf deine?
-->Ich nehme an, auf ihre. Ich konnte bei mir nichts festellen.
Die Frage ist ja auch, woher dein WP ihr FTP Passwort kannte. Und was war das für ein Service?
-->Keine Ahnung
Wer ist der Antragsteller?
-->Ich hatte das auf mich bezogen da ich sie ja angeschrieben habe.
Irgendwie scheinen sie von ihrem Hoster zu einer Stellungnahme aufgefordert worden zu sein. Ein Antragsteller hat sich da offenbar gemeldet. Wie das mit deinem Zugriff zusammenhängt, ist mir aber nicht klar.
-->Wie gesagt, ging ich davon aus, dass ich der "Antragsteller" bin.
Ich könnte mir jetzt was konstruieren. Ein Backup-Script von dir, welches per FTP deine Installation auf einen Server spiegelt. 06:34 Uhr könnte ein typischer cron Zeitpunkt sein. Aber warum ist es ausgerechnet deren Server? Woher kommen die Zugangsdaten? Aus irgendeinem Plugin, was dieses Unternehmen vielleicht anbietet? Ist bei dir irgendwas in dieser Richtung aktiv im WP?
-->Mir ist tatsächlich nichts bekannt. Ich habe so wenig Plugins wie möglich installiert, eine komplett statische Wordpress-Seite ohne "Schnickschnack". Habe nie bewusst irgendwas in der Richtung gemacht.
Keine Ahnung wo die Zugangsdaten herkommen, warum deren Server etc.
Ich kann die Fragen leider nur zum Teil beantworten. Siehe oben direkt in deinem Zitat.
Ich weiß nicht ob das hier im Forum gewünscht ist, aber falls jemand mit mehr Ahnung als ich (also vermutlich jeder Benutzer hier ;)) bereit wäre, sich das konkreter mit mir gegen Bezahlung anzuschauen, würde ich mich freuen!
Es ist ja doch schwer das alles sinnvoll zu beschreiben, und es wirkt ja auch tatsächlich etwas merkwürdig!
Aktuell geht es mir einfach darum zu verstehen was da passiert ist, wer sich wie bei mir eingeloggt hat und ob es evtl. noch Schadcode etc. gibt, so dass das nicht mehr so einfach vorkommen kann.
Da stellen wir uns doch mal janz dumm...
Kann der IT-Dienstleister irgendwelche stichhaltigen Beweise für seine Behauptung liefern, dass deine Zugangsdaten von Dir oder einem Dritten auf seinem Server abgelegt wurden? Wie kann es passieren, dass ein IT-Dienstleister per FTP(!!!) angreifbar ist und Dateien mit Zugangsdaten zu deiner WP-Installation/DB auf seinem Server abgelegt werden? In dem Fall sollte er eventuell mal seinen Server besser absichern, so dass nicht jeder x-beliebige Fremde per FTP Dateien auf seinen Server übertragen kann. Außer natürlich, wenn das in seiner Absicht liegt. Ein FTP Zugang sollte eigentlich passwortgeschützt sein. Und bei einem IT-Dienstleister erwarte ich, dass das Passwort nicht etwa "123456" ist. Er sollte also zunächst einmal auch SEINEN Server genauestens auf Hackerspuren untersuchen und ggf neu aufsetzen. Es klingt für mich auch ein wenig abstrus, ich frage mich, wer ein Interesse daran haben könnte, deine wp-config inkl DB Zugangsdaten auf den Server eines x-beliebigen IT-Dienstleisters zu übertragen?
Was er da schreibt, klingt in meinen Ohren überdies - ohne weitergehende Nachweise seinerseits - eher wie der Versuch einer billigen Ausrede dafür, dass er dein Wordpress "gehackt" hat und jetzt erwischt wurde und somit vom roten H eine Mail mit unangenehmen Fragen bekommen hat.
Vielen Dank für den Beitrag.
Diesen Verdacht habe ich inzwischen auch, und habe auch direkt nach konkreten Beweisen, Protokollauszüge, Screenshots etc, zu der Aussage gefragt.
Dazu gab es bisher keine Antwort.
Sorry, aber was ist das rote H? 
Aber wie war der Login möglich? Woher hatten die die Zugangsdaten? Offenbar gabs ja keine Fehlversuche, die waren direkt im ersten Schuss drin. War dein Passwort so leicht zu erreichen?
Einen einzelnen gezielten Zugriff wirst du da kaum erkennen. Aber wenn es Schadcode auf deinem WP gibt, wird der ja nicht nur einen Server angreifen. D.h., in den Datenübertragungsstatistiken müsste man sofort sehen, wenn der Traffic stark ansteigt, vor allem der FTP Traffic.
Bei der Gelegenheit: Beinhalten die netcup Webhostings überhaupt ein FTP Client drin? Auf der Konsole hab ich keinen gefunden.
Das mit dem Login ist für mich auch tatsächlich die zentrale Frage.
Mein Passwort kann garantiert nicht per Wörterbuch-Angriff oder sonstwie erraten/gefunden werden.
Klar, es ist kein generiertes komplett kryptisches Passwort, aber eine Kombination aus Groß- Kleinschreibung, Zahlen, Sonderzeichen. 100% nichts was irgendjemand auf der Welt direkt finden könnte.
Das gibt mir tatsächlich am meisten zu denken, und darauf habe ich keine Antwort.
Habe den Logauszug in Codetags gepackt, danke!
Bzgl. des Forums: Ich habe ehrlich gesagt kein besseres gefunden, wusste nicht wo ich diesen Beitrag verfassen soll. Sorry wenn er nicht im korrekten gelandet ist!
Und nochmals zur Frage der Reihenfolge:
1. Ich habe eine Mail von Wordfence über einen erfolgreichen Login auf meinem WP bekommen
2. Habe geschaut wer hinter der IP steckt und es kam eben dieser IT-Dienstleister raus -> Den habe ich direkt angeschrieben und um Aufklärung gebeten
3. Antwort kam: Anscheinend habe mein Server/WP den IT-Dienstleister per FTP angegriffen und Dateien auf deren Server geändert, die zitierte Antwort ist oben im ersten Beitrag
4. Nun bin ich weiterhin ratlos. Die Logs zur fraglichen IP-Adresse habe ich im vorigen Beitrag eingefügt.
Wordfence zeigt ansonsten keinerlei Auffäligkeiten, veränderte Dateien, Logins etc. an
Ich habe nur diese Aussage des Unternehmens, und in den Logs gibt es eben nur den erfolgten Login VOM Server des IT-Unternehmens AUF mein WP.
Wie würde ich denn eine ausgehende Kommunikation von meinem netcup/WP auf den anderen Server per FTP erkennen? Das müsste doch auch irgendwie protokolliert werden.
Wie, Backup zurückgespielt und upgedatet oder einfach nur upgedatet?
Bei Letzterem weißt du nie, was evtl. sonst noch aufgespielt wurde (backdoor).
So würde ich das auch sehen.
Schau in die logs deines webservers und suche nach der IP. Dann läßt sich klären, ob der login einmalig war.
Erstmal nur upgedatet. Bevor ich ein backup einspiele würde ich gern erst noch rausfinden, welcher Stand hier überhaupt sinnvoll ist.
Aber werde es im Zweifelsfall auf jeden Fall noch machen.
Bzgl. der Logs:
Hier bin ich bereits mit meinem Latein am Ende, das ist alles was im Log zu der fraglichen IP vorhanden ist:
HTTP/1.0" 200 1762 "-" "WordPress/6.4.1; https://www.satya-yogazentrum.de"
136.243.83.218 - - [30/Nov/2023:13:59:53 +0100] "GET /wp-login.php HTTP/1.0" 200 9340 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
136.243.83.218 - - [30/Nov/2023:13:59:56 +0100] "GET /wp-login.php HTTP/1.0" 200 9340 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
2a03:4000:30:358b::11:3786 - - [30/Nov/2023:13:59:55 +0100] "POST /wp-cron.php?doing_wp_cron=1701349195.0180070400238037109375 HTTP/1.0" 200 413 "-" "WordPress/6.4.1; https://www.satya-yogazentrum.de"
136.243.83.218 - - [30/Nov/2023:13:59:56 +0100] "POST /wp-login.php HTTP/1.0" 302 1315 "https://www.satya-yogazentrum.de/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
136.243.83.218 - - [30/Nov/2023:13:59:58 +0100] "GET /wp-admin/ HTTP/1.0" 200 156380 "https://www.satya-yogazentrum.de/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
136.243.83.218 - - [30/Nov/2023:14:00:01 +0100] "GET /wp-json/wp/v2/users/me?context=edit HTTP/1.0" 200 3543 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"
136.243.83.218 - - [30/Nov/2023:14:00:01 +0100] "POST /wp-json/wp/v2/users/me/application-passwords?_locale=user HTTP/1.0" 501 889 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36"Kann damit jemand etwas anfangen?
Auf mich wirkt es so, dass da jemand mein Passwort gewusst hätte und sich "ganz normal" eingeloggt hat. Sonst hätte ich doch mehrmalige Login-Versuche gefundne, oder?
Wordfence reicht aus. Diese "Sicherheits-Plugins" sind immer mit Vorsicht zu genießen. Ich habe mal einen kurzen Check auf deine Seite gemacht, sieht erstmal nicht nach Problemen aus. Trotzdem würde ich dir empfehlen, die Seite nochmal anzuschauen, ob eventuell Schadcode vorhanden ist
Vielen Dank!
Vielen Dank schonmal für all die Antworten!
Wenn ich das richtig verstanden habe, wurde bei dem IT-Dienstleister die Wordpress Installation gehackt. Ich würde die empfehlen, einfach mal deine Installation anzuschauen. Wichtig ist bei Wordpress, dass die Installtion, Plugins und Theme immer!! auf dem neusten Stand sind. Ist das bei dir der Fall?
Waren zu dem Zeitpunkt leider nicht ganz aktuell. Ist aber nun behoben, und sollten automatisch aktualisiert werden.
Wie ist denn die Wordpress Installation bei Dir abgesichert? 2FA, Security Plugins etc.
Bisher kein 2FA, habe ich aber nun geändert. Andere Security Plugins habe ich keine außer Wordfence. Gibts weitere Empfehlungen?
Hier handelt es sich doch um einen erfolgreichen Login in deine WP-Installation.
Je nach Linux-Kenntnissen bleibt ja nur, logfiles auswerten und diff einer Vergleichsversion erstellen etc. oder halt plattmachen und neu erstellen bzw. Backup vom Datum vor dem Angriff zurückspielen.
Meine Linux-Kenntnisse sind fast 0, deswegen wüsste ich nicht wo ich anfangen soll.
Aber ja, für mich sieht es auch so aus als ob der Login IN meine WP-Installation erfolgte VON der fremden Seite. Nicht umgekehrt.
Deswegen bin ich so verwundert über die Aussage des Betreibers der anderen Seite.
Das klingt alles sehr mysteriös
Du schreibst, dass der Login von einer anderen Webseite, kleiner IT-Dienstleister, kommt.
Woher weist du das?
Ich würde an deiner Stelle ein Backup von vor dem Login einspielen und sofort auf die neuste Version updaten, passwörter ändern und plugins deaktivieren die du nicht brauchst.
Wenn du sowieso WordGuard drauf hast, solltest du auch die 2FA aktivieren.
Dass der Login von der anderen Webseite kam, hat mir Wordfence angezeigt (Anhang).
Habe nur die IP-Adresse und die www geschwärzt (weiß nicht ob ich das muss, kann es auch ungeschwärzt hochladen), aber da ist klar ersichtlich, dass der Zugriff von der anderen Webseite kam.
2FA habe ich nun aktiviert und alles upgedated.
Danke vielmals an alle!
Bin natürlich weiterhin dankbar für alle Sicherheits-Tipps, aber vor allem darauf wie ich analysieren kann was zu dem Zeitpunkt tatsächlich passiert ist.
Hallo liebe netcup-Community,
ich habe mich extra für dieses Thema neu angemeldet, auch wenn ich früher vereinzelt Beiträge gelesen habe, und wende mich mit einer Bitte zur Unterstützung an euch!
Bitte entsprechend verschieben falls es das falsche Forum ist.
Ich verwende netcup seit einigen Jahren ohne größeren Probleme für meine Wordpress-Instanz.
Am 30.11., 14:00, bekam ich per Wordfence eine E-Mail über einen erfolgreichen Login auf mein Wordpress. Habe natürlich sofort mein Wordpress- als auch netcup-Passwort geändert.
Der Login kam von einer anderen Webseite, ein kleiner IT-Dienstleister (siehe Anhang).
Diesen habe ich direkt kontaktiert, und bekam als Antwort:
"unser Admin hat das Ganze heute untersucht. Es sieht so aus, als sei Ihre Seite gehackt und dass Ihre Seite uns angegriffen hat. Dies ist die Stellungnahme, die wir heute an unseren Hoster senden mussten.
am 30.11. um 06:34h wurden Daten von der IP 188.68.47.155 auf den Server xxx.xxx.xxx.xxx per FTP übertragen. Hierbei handelte es sich um einige veränderte PHP und Wordpress Dateien, u.a. wie die wp-login.php und die wp-config.php . Mit dem Wissen könnte jemand Zugriff auf die Datenbank und damit auf die User Passwörter bekommen haben. Wir haben alle verdächtigen Dateien entfernt und das FTP Passwort geändert. Es ist anzuraten, die entsprechende Wordpress Instanz des Antragstellers ebenso zu überprüfen.
"
Nun bin ich etwas ratlos, Wordfence zeigt keine Login-Versuche an, außer dem einen, keine veränderten Dateien, auch in netcup selbst kann ich nichts erkennen.
Jemand/Ein Bot müsste ja sowohl mein netcup/Wordpress-Passwort geknackt haben als auch das FTP-Passwort der fremden Seite.
Es sieht für mich weiterhin danach aus, dass der Zugriff von der Seite auf mein Wordpress erfolgt ist.
Hat jemand konkrete Tipps, was ich noch machen könnte? Gibt es netcup-Logs? Wie bekomme ich weitere Infos von netcup was da zu dem Zeitpunkt passiert ist? Wie kann ich am besten prüfen ob es in meinem netcup/Wordpress veränderte Dateien etc. gab?
Vielen Dank schonmal im Voraus!
