Beiträge von Real-DD-2

Ich möchte betonen, dass der Netcup Support gestern Abend unerwartet schnell reagiert hat!

Mein Account wurde wieder frei geschaltet und ich habe ALLE Domains deaktiviert.

Danach habe ich meine aktuelle Hauptdomain wieder aktiviert und bin ALLE Kontaktformulare durchgegangen. alle beiden

Bei beiden habe ich ein recaptchav3 sowie HoneyPot aktiviert. Es sollte da nicht möglich sein, dass Spam verschickt wird.

Diese Formulare sind mit dem Elementor Pro erstellt worden. Ich vermute, dass es da nicht möglich ist einfach den Empfänger zu ändern. Beweisen kann ich es nicht. da muss ich wohl Elementor Pro so viel vertrauen wie ich Netcup meine Daten anvertraue und der Bank mein Geld.

Das Wordpress ist aktuell.
Ich habe 3 Themes installiert - Elementor Hello, zwei default Wordpress Themes die ich nicht löschen kann - alles aktuell

Plugins habe ich:
Burst Statistics - Datenschutzfreundliche Analyse für WordPress
Complianz - Allgemeine Geschäftsbedingungen
Complianz Privacy Suite (GDPR/CCPA) premium
Duplicator

Elementor

Elementor Pro
OMGF
Really Simple SSL
WP Super Cache

Alles aktuell.

Ich hoffe jetzt habe ich eine weile ruhe

Das ging wirklich deutlich schneller als erwartet!

Der Account wurde wieder freigeschaltet mit einer Rückmeldung:

Zitat

anscheinend wurde bei einer Ihrer Webseiten das Kontaktformular für den Spamversand missbraucht.

Ich hab jetzt alle Webseiten einfach erstmal deaktiviert. Dann ist es über Nacht zwar nicht erreichbar aber morgen früh kann ich mich gleich schlau machen.

Aber ich habe keine Ahnung wo ich das überprüfen sollte. Plugins aktuell, 2 Kontakt-Formulare mit honey Pot und reCaptcha

Danke an den Support! Das ging wirklich sehr schnell

Zitat von martin\

Ist das Wordpress aktuell und sind alle Plugins aktuell? Welche Plugins hast du denn installiert?

Wie ich geschrieben habe, bei mir zumindest ist es aktuell. Gestern Abend war es das. Auch automatische Updates sind aktiv.

Und bei den Plugins sind es Elementor, complianze und 2 andere. Also wenig.

Ja, ich bin mir sicher, es gäbe andere Maßnahmen: Mail Ausgang sperren o.ä.

Aber sei es drum: ich habe mein Passwort vom CCP geändert und von 24 auf 32 Zeichen erhöht und das vom mx Mailserver ebenso.

Also von mx2fb4.webhosting.systems

Ist jetzt auch ein 32 Zeichen Passwort generiert mit Sonderzeichen und allem was geht.

Mehr kann ich nicht machen - wüsste auch nicht was die morgen hören wollen.

Auf den Abuse habe ich es geschrieben aber wie du sagst: die Website ist jetzt mindestens bis morgen 10 Uhr offline was für meine Frau als selbständige echt ärgerlich ist.....

Guten Abend, ich wieder.

Langsam bin ich echt genervt und mir gehen auch die Ideen aus, was ich noch alles machen kann. Ich bin seit, keine Ahnung, bestimmt über 10 Jahren, quatsch seit bestimmt 15 Jahren Kunde bei Netcup und hatte eigentlich nie Probleme. Es lief immer alles gut. Ich bin sicherlich kein Webhosting Crack aber ein wenig Erfahrung habe ich schon.

Aktuell habe ich zahlreiche Domains aber nur eine einzige Webseite aktiv. Da ist ein WordPress installiert. Vor einiger Zeit wurde diese offensichtlich gehackt. Wahrscheinlich aufgrund von Sicherheitslücken in WordPress oder einem der (wenigen) Plugins.

Das konnte ich soweit beheben, alles bereinigen und habe alle Passwörter geändert.

Heute, dem So 03.03.2024 21:18 habe ich eine E-Mail erhalten, die von Netcup stammt:

Zitat

========== English version below ==========

Guten Tag ,

von Ihrem Webhostingaccount - Webhosting EiWoMiSau wurde Spam versendet. Wir haben Ihren Account daher deaktiviert.

Für Ihre notwendigen Wartungs- und Analysearbeiten können wir Ihr System auf Wunsch für 30 Minuten freischalten. Bitte teilen Sie uns Ihren gewünschten Termin für die Freischaltung mit.

Eine Freischaltung kann Montag bis Freitag zwischen 10 und 18 Uhr erfolgen.

Um Ihren Webhostingaccount wieder aktivieren zu können, benötigen wir von Ihnen eine Stellungnahme, welche Sie über Ihr Kundencenter CCP unter https://www.customercontrolpanel.de an uns übermitteln können. Geben Sie darin bitte an, wie es zu dem Vorfall kam und welche Änderungen Sie aufgrund des Vorfalls vorgenommen haben. Sichern Sie uns in Ihrer Stellungnahme bitte desweiteren zu, dass kein erneuter Verstoß gegen die AGB erfolgen wird und alle schadhaften Dateien entfernt worden sind.

Weitere Informationen zum Vorgehen beim Erhalt einer Abusemeldung finden Sie hier in unserem Wiki:

https://helpcenter.netcup.com/…i/general/abuse-hinweise/

Weitere Details zum Spamversand finden Sie am Ende dieser Nachricht.

Alles anzeigen

Ganz unten ist eine Mail angehängt:

Zitat

Dear Customer,

We have identified an accidental overcharge in your bill for January 2024. We sincerely apologize for this error and assure you that we are committed to providing the highest standards of service.

Please be informed that the total amount of AED 612.59 is due for a refund.

Claim Your Refund

If you require further assistance, please contact our customer support team. We are here to help.

Thank you for your understanding and patience in this matter.

Warm regards,

The Dubai Electricity and Water Authority

Alles anzeigen

Mit all dem anderen Mail Kram kenne ich mich nicht wirklich aus. Ich frage mich wozu ich ein Webnhosting Tarif habe, wenn ich für Sachen verantwortlich gemacht werde, auf die ich kaum Einfluss habe. Mir ist klar, dass eine Webseite auch Verantwortung heißt. Aber ich habe alle Passwörter geändert nach einem Vorfall, ich habe alle Passwörter Generieren lassen, lang und sicher mit Sonderzeichen.

Mit ist klar, dass wenn es Spam gibt, dass Netcup handeln muss aber was bitte soll ich für eine Stellungnahme abgeben? Was soll ich denn machen? Ich habe doch gar keinen Einfluss deren Mailsystem welches ich als Kunde lediglich verwende.

Gehackt werden - Okay, muss man handeln. Aber was soll ich denn schreiben, sagen, machen außer das ich die Passwörter ändern? Es ist doch nicht mein Mailserver, es ist ein Dienst den ich verwende.

Hat jemand eine Idee?

Vielleicht auch eine Generelle? Der Support hat bezüglich des Hacks mit der 360 Lock sache nicht reagiert und ich befürchte auch jetzt wird nicht viel passieren (wie gesagt, seit locker 15 Jahren war (und eigentlich bin) ich sehr zufrieden. Ich will hier kein "Baching" betreiben aber bin langsam ziemlich genervt davon.

1 WordPress bei dem sich Plugins automatisch aktualisieren und auch WordPress automatisch aktualisiert wird und gestern Abend habe ich den Status überprüft. Was kann ich denn noch machen?

Ich habe in der cli jetzt die Dateien in einen neuen Ordner kopiert und die Datei und Verzeichnisberechtigungen gesetzt. Dann habe ich den docroot der Webseite auf das neue Verzeichnis gesetzt und plötzlich geht es wieder.

aber ja, ich hatte auch mit VPN aus anderen Ländern versucht, auch mit Handy und bei bekannten gefragt. Es war nicht lokal bei mir das Problem.

Achso, ja Hille Toolkit ist deaktiviert.

Habe es jetzt alles durch ich denke es liegt an Netcup. Irgendwas ist bei meinem Tarif verhunzt.
Habe es auf neuer Domain installiert im anderen Ordner und überall das gleiche Problem.

habe alle durchgetestet. Immer das gleiche Problem.

Ich werde die Daten nehmen und neu aufsetzen. Vielleicht ein anderer Hoster das mit diesem Plex kram nervt mich gerade total.
Ich komme mit dem zeug nicht klar.

oh man darauf wäre ich nie gekommen. Danke!

Allerdings mit php 8.2 erhalte ich wieder im backend auf den Seiten das:
pasted-from-clipboard.png

Das doch alles nicht normal :s

Es lag an wp-toolkit. Danke Hille

Den kram verwende ich nie wieder.

Allerdings habe ich eine Frage an allen anderen noch:
Ich habe jetzt wp-toolkit gelöscht bzw. deaktivert und seitdem ist auf der Webseite php 7.2 aktiviert:
pasted-from-clipboard.png

leider kann ich es nicht ändern:
pasted-from-clipboard.png

Auf anderen Seiten jedoch schon....
pasted-from-clipboard.png

Es geht auch nicht in den Hosting Einstellungen:
pasted-from-clipboard.png

Hat jemand eine Idee woran das liegt?

Ich gebe zu dieses Plesk gedöns und Webservice kram finde ich mittlerweile sehr...unangenehm Dachte damit spart man sich Arbeit aber bisher habe ich damit nur mehr Arbeit.

Guten Abend,

also es hat sich zugetragen, dass die Bereinigung nicht funktioniert hat.

Oder nur Teilweise. Netcup selbst kann / will mir per Ticket nicht helfen. Vielleicht hat ja jemand von euch eine Idee.

Die Startseite geht, alle anderen Seiten haben im wp-admin backend bekommen:
pasted-from-clipboard.png

Dabei komme ich aber auf das allgemeine Dashboard. Also der Login geht, ich sehe das Dashboard von WordPress aber weiter komme ich nicht.

Auf der Webseite selbst geht die Startseite also http://www.domain.com

Aber keine einzige Unterseite. Da erhalte ich:
pasted-from-clipboard.png

Die Sicherheitsmaßnahmen von WP-Tookit die netcup integriert hat habe ich alle befolgt:
pasted-from-clipboard.png

Bei dem alten Backup habe ich genau das gleiche Fehlerbild:

pasted-from-clipboard.png

Wenn meine Frau nicht so viel Arbeit in die Webseite gesteckt hätte würde ich alles neu machen aber so muss ich es erstmal versuchen
Plugins habe ich diese installiert:
pasted-from-clipboard.png

Beim Live Debugging kommt nur das raus (debug.log in der wp-content)

[10-Feb-2024 20:17:22 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:23 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:26 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:26 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:27 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:37 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:42 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:43 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:43 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:45 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:47 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:51 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:52 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:53 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:17:54 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:18:41 UTC] PHP Deprecated:  ord(): Passing null to parameter #1 ($character) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-content/plugins/autoptimize/classes/external/php/jsmin.php on line 390
[10-Feb-2024 20:20:50 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:20:51 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:20:53 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:20:54 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494
[10-Feb-2024 20:20:55 UTC] PHP Deprecated:  ltrim(): Passing null to parameter #1 ($string) of type string is deprecated in /var/www/vhosts/##HOSTING##.netcup.net/httpdocs/##WEBSITE##/wp-includes/formatting.php on line 4494

Hat jemand eine Idee oder kann helfen ?

Ja ist es
Habe ja zur Not jetzt ein Backup lokal

Zitat von Olivetti

aber woher kam jetzt das »manuell hochgeladene backup«?

Das war das WP-Tookit-Backup bei was bei der Aktualisierung von Wordpress angelegt wurde.
Ein "Widerherstellen" ging ja nicht. Der Manuelle Weg hat dann aber funktioniert. Ich habe jetzt auch ein backup nochmal gezogen und auf platte gelegt. Außerdem das Passwort vom ccp geändert und 2fa aktiviert. Werde noch die Datenbankpasswörter ändern und offline nehmen was nicht online sein muss. Dann reichts für heute

Eigentlich wollte ich Harry Potter gucken, nach der hälfte hat meine Frau angemerkt, dass die Webseite nicht geht.
Naja, Backups sind das a und o.
Werde ich jetzt auch beim Webhosting so machen.

Zitat von Olivetti

was bedeutet das genau – deine anderen webseiten im selben kundenkonto (CCP) oder generell?

Es scheint generell sehr viele Webseiten zu geben die Betroffen sind.
Bei mir im ccp / Kundenkonto sind / waren mehrere Webseiten Betroffen.

Ich konnte jetzt das Backup vom WP-Toolkit einspielen.

1. Webseitenordner löschen
2. neu erstellen
3. Backup files manuell hochladen
4. Datenbank einspielen
5. Passwörter ändern

Ich werde mich aber morgen nach dem schlafen nochmal genauer damit befassen.

Hier fand die initiale Infektion statt: 2024-01-31 06:54:23

Zitat

Site data was refreshed and stored in cache. The site was quarantined with the following issue: Unable to finish running an operation on this site in 60 seconds. Operation was canceled. This is most likely caused by a server load spike, uncommon directives in wp-config.php, or a malware infection. Try running the operation again later. If this problem persists, make sure there are no customizations in wp-config.php that could slow down parsing this file, and consider checking the website for viruses and malware.

Glaube entweder arbeitet die Infektion weiter oder jemand ist gerade am Webhosting / im Account aktiv. Der Ordner mit der Webseite wurde umbenannt und am Ende wurde .loeschen dran gehängt.

Keine Ahnung, ich halte euch auf dem laufenden, wenn es ein Update gibt. Auf jeden Fall ist der Account / Website / Ordner völlig verseucht.

Die letzte Änderung ist schon eine Weile her. Es wäre nicht schlimm, wenn es 7 Tage her ist. Aber 2 Tage (Wochende) können bei 7 Tagen ja schon was ausmachen.

Generell müsste ich ja alles bereinigen und alles komplett löschen. Denn überall gibt es Ordner und Dateien die auf eine Infektion hinweisen.

Das Backup welches Netcups system selbst erstellt hat kann ich nicht einspielen, auch das erstellen einer neuen wp-config hilft nicht.

pasted-from-clipboard.png

Aber auch das Backup geht nicht mit der Fehlermeldung:
pasted-from-clipboard.png

Echt ärgerlich die Situation

Zitat von Olivetti

nach meinem verständnis ist webhosting ja grundsätzlich »managed«.

Sehe ich ähnlich.

Zitat von Hille

Wurden auch alle Plugins und Theme immer aktuell gehalten ?

Vermutlich, es gibt ja die Funktion in Wordpress diese Automatisch zu aktualisieren. Das war aktiviert.

Zitat von Hille

Schau doch mal z.b per phpmyadmin, ob die Datenbank wirklich leer ist.

Habe ich, die ist tatsächlich komplett leer.

Zitat von Patrick0815

Sollte es doch ein normales Webhosting sein, gibt es dort Restores der freiwilligen Backups die man sich einspielen lassen kann.

Ja, naja das meinte ich ja. Ein Webhosting. Das ist m.M. nach immer "managend", weil sich der Anbieter um die Infrastruktur kümmert und die Möglichkeiten ja begrenzt sind. Das meiste übernimmt der Anbieter ja. Ich kann zwar E-Mail Adresse anlegen und Dateien und Datenbanken aber das Management der Sachen liegt ja nicht bei mir. Die Datei und verzeichnisrechte werden ja nicht durch mich verwaltet. Mailware detection kann ich nicht manuell einrichten. Auch Daten widerherstellen kann ich nicht oder tiefergehende Analysen machen. Spannend, dass die Logs der Webseite, speziell die Accesslogs" leer sind.

"Freiwillige" Backups bzw. den Menüpunkt habe ich tatsächlich gerade gesehen. Wenn der schon immer da war, dann ist er mir nie aufgefallen.

>> Ich hoffe, dass ich das nicht benötige und in diesem Fall Netcup unterstützt. Ich wüsste zumindest nicht in wie fern ich hätte etwas anders oder besser machen können

1. Wordpress wurde nach netcup vorgaben installiert und gehärtet

2. Aktualisierungen wurden gemäß der Vorgaben gemacht

3. Alle Passwörter wurden mit den von Netcup vorgegeben "generieren" Passwörtern erstellt.