"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Wordpress HP gehackt - Ideen gesucht

crusher 02.01.2023 - 15:39 1421 4
Posts

crusher

Legend
dur ned blern
Avatar
Registered: Jan 2005
Location: ::1
Posts: 4042
Hallo Leute,

es ist unserem Verein leider passiert, dass ein Admin-Account in einem Leak aufgetaucht ist und so ein netter Zeitgenosse auf unsere HP Zugriff hatte. Es ist eigentlich nicht viel passiert, außer dass er Google-Ads geschaltet hat.

Also was macht man, klar schauen wenn er sich eingeloggt hat und WordFence deaktiviert hat. Nachdem ich aber auf Urlaub war und es erst später mitbekommen habe, waren leider schon 2 Wochen vergangen. Soweit so gut, einfach Backup eingespielt vor dem Termin und gut, ja nur nicht ganz. Nach dem Backup hab ich einen Adminuser entdeckt, der sich kurz nach der Wiederherstellung per phpmyAdmin einen Admin Account hinzugefügt hat, welcher nicht unter Benutzer in Wordpress auftaucht. Diesen natürlich sofort gelöscht. Weiters alles wieder zurückgesetzt, so dass augenscheinlich alles passt.

Nicht ganz, per Scan mit ImunifyAV hab ich noch ein File gefunden, welches Wordpress ähnelt, aber nicht davon stammt, somit auch das eliminiert.

Einzig was fehlt ist die Sache, dass ich auf wp-admin/update-core.php und update.php angeblich keinen Zugriff habe, zumindest wenn ich das aus WP-Admin aufrufe. Alle Settings per FTP und die Dateienberechtigungen (722, 644 etc) waren aber ok. Auch eine saubere no-content Installation von Wordpress drüber spielen hat nichts geändert.

Ich kann aus WP-Admin im Dashboard keine Updates einspielen, auch nicht Plugins Updaten (ja, manuell per FTP gehts).

Per Reset Plugin alles resetten hatte auch keine Änderung zur Folge.

Also solange bis sich hoffentlich mal der Hoster retour meldet, bis wie weit seine Backups gehen und wann er sie mir einspielt....

Hat noch irgnedwer eine Idee, wie ich die Updates + Pluginsuche wiederherstellen kann?

tia
Bearbeitet von crusher am 02.01.2023, 15:46

berndy2001

Komasäufer
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1931
bin nicht wordpress wissend, aber der aktuellen wordpress-installation würde ich nicht mehr trauen. Es könnten (weitere?) Backdoors eingebaut worden sein.

Daher altes Zeug entsorgen + Backup einspielen oder Wordpress neu installieren + Daten aus Backup importieren. Künftig den Login am besten auch per 2-Faktor oder so absichern und auch die Login-Url ändern.
Bearbeitet von berndy2001 am 02.01.2023, 15:54

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48757
Die WP Installation und Datenbank kannst vergessen.
Je nach Umfang des Projektes dies für einen refresh nutzen und daraus lernen.

Wenn das nicht geht dann _nur_ den Content übernehmen und alles andere neu machen.
Ich würde mal alle Passwörter die mit dem Webspace zu tun haben erneuern, 2FA wo es geht aktivieren und sollten noch wo Tokens aktiv sein diese revoken

crusher

Legend
dur ned blern
Avatar
Registered: Jan 2005
Location: ::1
Posts: 4042
ok, dann sehens wir wirklich als lessons learned -> die ironie 2FA ist bei allen aktiv gewesen, außer bei ihm :(

Projekt ist klein. Gibts gute Content Save Plugins oder so, damit ich eine schnelle migration hinbekomme?

Danke!

Snoop

Here to stay
Registered: Jun 2002
Location: Gablitz
Posts: 1075
je nachdem wie die seite aufgebaut ist, kannst du auch die posts einfach exportieren und wieder importieren. falls die aber mit advanced custom fields oder ähnliches aufgebaut ist, dann kommst an wpexport und wpallimport nicht herum.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz