Guten Abend,
ich habe bemerkt, dass eine meiner Wordpress Installation durch einen Angreifer verändert worden ist.
Verändert worden sind alle index.php der index.html Dateien, es wurde immer der gleiche 1-Zeiler JS Code platziert.
Einige Blogeinträge / Unterseiten, die in der DB gespeichert werden, waren ebenso infiziert und mussten bereinigt werden.
Dies habe ich auch getan und habe vermutet, dass der Angreifer entweder das Passwort herausgefunden hat, die WP Installation zu alt war, PlugIns veraltet waren, PHP Version veraltet etc.
Ich habe nach der Reinigung fast alle Passwörter verändert, PHP von 5.XX auf 7.4 aktualisiert, Wordpress + PlugIns auf den aktuellsten Stand aktualisiert.
Dies hat genau drei Tage gehalten, dieses Mal war die WP-Installation erneut angegriffen worden, allerdings ohne die Blogeinträge / Unterseiten zu verändern,
dafür wurden aber alle .js Dateien mit einem zusätzlichen Script versehen, der die Webseite auf eine Gewinnspiel-Webseite weiterleitet.
Zusätzlich sind jetzt noch drei weitere Projekte (1x Wordpress, 1x HTML Webseite, 1x kleines Script) mit infiziert, dort sind ebenfalls alle index-Dateien + .js Dateien mit einem Code des Angreifers für die Weiterleitung versehen.
Ich bin gerade dabei wieder die Codes zu entfernen, da diese Anhand des Änderungsdatums (alle fast zur gleichen Sekunde) schnell gefunden werden können.
Habt ihr eine Idee, wie es zu dieser Infizierung kommen konnte? Ich habe jetzt alle FTP-Zugänge gelöscht (die PWs waren nicht verändert) und werde das Passwort von netcup CCP zurücksetzen.
Nutzen tue ich das Webhosting 8000 Paket. Eine Anmerkung: bei den drei PHP-Webseiten kann ich mir vorstellen, dass vllt. eine Sicherheitslücke genutzt worden ist im PlugIn oder Script,
aber wie konnte der Angreifer die HTML Webseite verändern? Dies sollte ja nur per FTP möglich sein, oder? Die Webseiten liegen in separaten Ordner und die Berechtigungen der Dateien stehen auf rwx-r--r--
Ich bin gespannt ob jemand eine Idee hat 
Viele Grüße
Crash
