crusher
Legenddur ned blern
|
Hallo Leute,
es ist unserem Verein leider passiert, dass ein Admin-Account in einem Leak aufgetaucht ist und so ein netter Zeitgenosse auf unsere HP Zugriff hatte. Es ist eigentlich nicht viel passiert, außer dass er Google-Ads geschaltet hat.
Also was macht man, klar schauen wenn er sich eingeloggt hat und WordFence deaktiviert hat. Nachdem ich aber auf Urlaub war und es erst später mitbekommen habe, waren leider schon 2 Wochen vergangen. Soweit so gut, einfach Backup eingespielt vor dem Termin und gut, ja nur nicht ganz. Nach dem Backup hab ich einen Adminuser entdeckt, der sich kurz nach der Wiederherstellung per phpmyAdmin einen Admin Account hinzugefügt hat, welcher nicht unter Benutzer in Wordpress auftaucht. Diesen natürlich sofort gelöscht. Weiters alles wieder zurückgesetzt, so dass augenscheinlich alles passt.
Nicht ganz, per Scan mit ImunifyAV hab ich noch ein File gefunden, welches Wordpress ähnelt, aber nicht davon stammt, somit auch das eliminiert.
Einzig was fehlt ist die Sache, dass ich auf wp-admin/update-core.php und update.php angeblich keinen Zugriff habe, zumindest wenn ich das aus WP-Admin aufrufe. Alle Settings per FTP und die Dateienberechtigungen (722, 644 etc) waren aber ok. Auch eine saubere no-content Installation von Wordpress drüber spielen hat nichts geändert.
Ich kann aus WP-Admin im Dashboard keine Updates einspielen, auch nicht Plugins Updaten (ja, manuell per FTP gehts).
Per Reset Plugin alles resetten hatte auch keine Änderung zur Folge.
Also solange bis sich hoffentlich mal der Hoster retour meldet, bis wie weit seine Backups gehen und wann er sie mir einspielt....
Hat noch irgnedwer eine Idee, wie ich die Updates + Pluginsuche wiederherstellen kann?
tia
Bearbeitet von crusher am 02.01.2023, 15:46
|
berndy2001
|
bin nicht wordpress wissend, aber der aktuellen wordpress-installation würde ich nicht mehr trauen. Es könnten (weitere?) Backdoors eingebaut worden sein.
Daher altes Zeug entsorgen + Backup einspielen oder Wordpress neu installieren + Daten aus Backup importieren. Künftig den Login am besten auch per 2-Faktor oder so absichern und auch die Login-Url ändern.
Bearbeitet von berndy2001 am 02.01.2023, 15:54
|
Viper780
ModeratorEr ist tot, Jim!
|
Die WP Installation und Datenbank kannst vergessen.
Je nach Umfang des Projektes dies für einen refresh nutzen und daraus lernen.
Wenn das nicht geht dann _nur_ den Content übernehmen und alles andere neu machen.
Ich würde mal alle Passwörter die mit dem Webspace zu tun haben erneuern, 2FA wo es geht aktivieren und sollten noch wo Tokens aktiv sein diese revoken
|
crusher
Legenddur ned blern
|
ok, dann sehens wir wirklich als lessons learned -> die ironie 2FA ist bei allen aktiv gewesen, außer bei ihm  Projekt ist klein. Gibts gute Content Save Plugins oder so, damit ich eine schnelle migration hinbekomme? Danke!
|
Snoop
Here to stay
|
je nachdem wie die seite aufgebaut ist, kannst du auch die posts einfach exportieren und wieder importieren. falls die aber mit advanced custom fields oder ähnliches aufgebaut ist, dann kommst an wpexport und wpallimport nicht herum.
|
Anmeldung