Hackangriff auf Webseite -> Wordpress

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

28.06.2016 - 12:39

Meine Website wird seit einigen tagen gehackt, bzw so stark abgerufen das sich der Webserver ankotzt. geht alles von eine IP aus.

Habt ihr eine Ahnung was ich dagegen tun kann?
Könnte mir vorstellen das es von meinem Stalker ausgeht.

22.000 Zugriffe auf die wp-login.php pro tag...

Bearbeitet von am 28.06.2016, 12:41

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19787

28.06.2016 - 12:41

Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen.

Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?.

/Edit:

Zitat
22.000 Zugriffe auf die wp-login.php pro tag

Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack.

Bearbeitet von daisho am 28.06.2016, 12:43

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

28.06.2016 - 12:46

ist ein bruteforce.
du kannst ihn selbst per htaccess aussperren oder du machst das ganze z.b. per fail2ban -> gibt ein wordpress plugin, womit du die brute-force angriffe etwas in den griff bekommst - distributed burte-force bekommst damit aber nur schwer in den griff.

alternativ:
installier dir google authenticator und aktivier es für alle accounts - dadurch klappt der login nur noch mit 2faktor token, ich habe bisher darauf keine bruteforce authentications festgestellt.

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

28.06.2016 - 12:48

Bin kein Web-Pro... Logs stehen nur meinem provider zur Verfügung, ich hab nur "webalizer Stats"... Es sind mehrere IP-Adressen was ich so sehe.

Offenbar kotzt sich der MySql-Server an.

Hab jetzt mal die wp-login.php umgetauft, scheint zu funktionieren. Zumindest hat sich die Ladezeit der Page normalisiert und man bekommt keinen Timeout mehr.

Bearbeitet von am 28.06.2016, 12:50

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

28.06.2016 - 12:52

wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis.
alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe.

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

28.06.2016 - 13:04

Zitat von Smut
wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis.
alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe.

wp-login.php hab ich schon umgetauft, scheint auch erstmal zu helfen.

Google-Authenticator ist eine gute idee, versuche ich am Abend (sofern die Seite nicht gleich wieder down geht wenn ich die wp-login wieder richtig taufe).

Zitat von daisho
Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen.

Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?.

/Edit:

Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack.

wenn ich das ganze richtig deute, handelt es sich derzeit um ~4-5 IP-Adressen (jeweils ~8000 Hits).
IP-Locator (sofern das was aussagt) sagt mir: Deutschland, Amerika, Vietnam, Deutschland...

Bearbeitet von am 28.06.2016, 13:08

BiG_WEaSeL

Elder
-

Registered: Jun 2000
Location: Wien
Posts: 8357

28.06.2016 - 13:11

hilft nur am rande aber: wordfence plugin + wp super cache (und ein amazon cdn konfigurieren, das hilft schon mal)

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4303

28.06.2016 - 13:30

Wenn du eine eigene Domain und Zugriff auf DNS hast, kannst du http://cloudflare.com/ nutzen.

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

28.06.2016 - 13:45

Danke, sehe ich mir abends auch an. Hab die Zeichen der Zeit mal genutzt und bin auf ssl umgestiegen. Wenns nicht hilft, Schaden tut es auch nicht. Und die Kosten von 1,6€/Monat werde ich überleben. Im Google Ranking sollte es jedenfalls was bringen.

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25536

28.06.2016 - 13:48

Bei einer kurzfristigen Beeinträchtigung der Performance ist das Aussperren per .htaccess sicherlich die einfachste und zielführendste Methode.

Langfristig solltest du einen Bruteforce-Schutz einbauen, weil das wird immer wieder passieren. Ich empfehle dafür WP Login Security and History, das deutlich weniger aufgeblasen ist als Wordfence und Co. Außerdem siehst du in der History auch gleich, ob es der Bot wirklich geschafft hat bzw. mit welchem Usernamen.

W3 Total Cache solltest du sowieso zusätzlich verwenden, ganz unabhängig von irgendwelchen Attacken. Page-Cache, Object-Cache, DB-Cache und Browser-Cache sollten standardmäßig eingeschalten werden. Das sind 5 Klicks, auch wenn du nicht weißt, was du tust.

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

28.06.2016 - 14:02

Vielen lieben dank für die ganzen Tipps. Bin euch zu dank verpflichtet!

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9005

28.06.2016 - 14:07

und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

28.06.2016 - 14:10

Zitat von Umlüx
und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an

Derzeit bin ich wieder auf Kampfgewicht mit 96kg, ich wäre also selbst auch eine gute Ergänzung fürn Schlägertrupp *g*... Wo kann man sich da melden?
Falls es soweit kommt, werd ich was anleiern *g*. Bier geht dann natürlich auf mich :P

btw, wird zeit für eine ocat-spende

Bearbeitet von am 28.06.2016, 14:10

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19787

28.06.2016 - 14:13

lol ... ja wenn es random Angriffe sind, bringt eine Anzeige wohl nichts (wäre eher darauf bezogen wenn das tatsächlich irgendein irrer Stalker ist oder so und jetzt in Noob-Manier versucht deine Logins zu knacken

).

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4115

28.06.2016 - 17:11

beziehst du dich jetzt auf seine erzählung aus einem anderen thread?

Guest Deleted User Registered: n/a Location: Posts: n/a	28.06.2016 - 12:39 Meine Website wird seit einigen tagen gehackt, bzw so stark abgerufen das sich der Webserver ankotzt. geht alles von eine IP aus. Habt ihr eine Ahnung was ich dagegen tun kann? Könnte mir vorstellen das es von meinem Stalker ausgeht. 22.000 Zugriffe auf die wp-login.php pro tag... Bearbeitet von am 28.06.2016, 12:41
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19787	28.06.2016 - 12:41 Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen. Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?. /Edit: Zitat 22.000 Zugriffe auf die wp-login.php pro tag Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack. Bearbeitet von daisho am 28.06.2016, 12:43
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	28.06.2016 - 12:46 ist ein bruteforce. du kannst ihn selbst per htaccess aussperren oder du machst das ganze z.b. per fail2ban -> gibt ein wordpress plugin, womit du die brute-force angriffe etwas in den griff bekommst - distributed burte-force bekommst damit aber nur schwer in den griff. alternativ: installier dir google authenticator und aktivier es für alle accounts - dadurch klappt der login nur noch mit 2faktor token, ich habe bisher darauf keine bruteforce authentications festgestellt.
Guest Deleted User Registered: n/a Location: Posts: n/a	28.06.2016 - 12:48 Bin kein Web-Pro... Logs stehen nur meinem provider zur Verfügung, ich hab nur "webalizer Stats"... Es sind mehrere IP-Adressen was ich so sehe. Offenbar kotzt sich der MySql-Server an. Hab jetzt mal die wp-login.php umgetauft, scheint zu funktionieren. Zumindest hat sich die Ladezeit der Page normalisiert und man bekommt keinen Timeout mehr. Bearbeitet von am 28.06.2016, 12:50
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	28.06.2016 - 12:52 wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis. alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe.
Guest Deleted User Registered: n/a Location: Posts: n/a	28.06.2016 - 13:04 Zitat von Smut wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis. alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe. wp-login.php hab ich schon umgetauft, scheint auch erstmal zu helfen. Google-Authenticator ist eine gute idee, versuche ich am Abend (sofern die Seite nicht gleich wieder down geht wenn ich die wp-login wieder richtig taufe). Zitat von daisho Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen. Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?. /Edit: Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack. wenn ich das ganze richtig deute, handelt es sich derzeit um ~4-5 IP-Adressen (jeweils ~8000 Hits). IP-Locator (sofern das was aussagt) sagt mir: Deutschland, Amerika, Vietnam, Deutschland... Bearbeitet von am 28.06.2016, 13:08
BiG_WEaSeL Elder - Registered: Jun 2000 Location: Wien Posts: 8357	28.06.2016 - 13:11 hilft nur am rande aber: wordfence plugin + wp super cache (und ein amazon cdn konfigurieren, das hilft schon mal)
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4303	28.06.2016 - 13:30 Wenn du eine eigene Domain und Zugriff auf DNS hast, kannst du http://cloudflare.com/ nutzen.
Guest Deleted User Registered: n/a Location: Posts: n/a	28.06.2016 - 13:45 Danke, sehe ich mir abends auch an. Hab die Zeichen der Zeit mal genutzt und bin auf ssl umgestiegen. Wenns nicht hilft, Schaden tut es auch nicht. Und die Kosten von 1,6€/Monat werde ich überleben. Im Google Ranking sollte es jedenfalls was bringen.
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25536	28.06.2016 - 13:48 Bei einer kurzfristigen Beeinträchtigung der Performance ist das Aussperren per .htaccess sicherlich die einfachste und zielführendste Methode. Langfristig solltest du einen Bruteforce-Schutz einbauen, weil das wird immer wieder passieren. Ich empfehle dafür WP Login Security and History, das deutlich weniger aufgeblasen ist als Wordfence und Co. Außerdem siehst du in der History auch gleich, ob es der Bot wirklich geschafft hat bzw. mit welchem Usernamen. W3 Total Cache solltest du sowieso zusätzlich verwenden, ganz unabhängig von irgendwelchen Attacken. Page-Cache, Object-Cache, DB-Cache und Browser-Cache sollten standardmäßig eingeschalten werden. Das sind 5 Klicks, auch wenn du nicht weißt, was du tust.
Guest Deleted User Registered: n/a Location: Posts: n/a	28.06.2016 - 14:02 Vielen lieben dank für die ganzen Tipps. Bin euch zu dank verpflichtet!
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9005	28.06.2016 - 14:07 und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an
Guest Deleted User Registered: n/a Location: Posts: n/a	28.06.2016 - 14:10 Zitat von Umlüx und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an Derzeit bin ich wieder auf Kampfgewicht mit 96kg, ich wäre also selbst auch eine gute Ergänzung fürn Schlägertrupp g... Wo kann man sich da melden? Falls es soweit kommt, werd ich was anleiern g. Bier geht dann natürlich auf mich :P btw, wird zeit für eine ocat-spende Bearbeitet von am 28.06.2016, 14:10
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19787	28.06.2016 - 14:13 lol ... ja wenn es random Angriffe sind, bringt eine Anzeige wohl nichts (wäre eher darauf bezogen wenn das tatsächlich irgendein irrer Stalker ist oder so und jetzt in Noob-Manier versucht deine Logins zu knacken ).
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4115	28.06.2016 - 17:11 beziehst du dich jetzt auf seine erzählung aus einem anderen thread?

Hackangriff auf Webseite -> Wordpress

Forum Index > Software > Coding Stuff

Guest

daisho

Smut

Guest

Smut

Guest

BiG_WEaSeL

kleinerChemiker

Guest

mat

Guest

Umlüx

Guest

daisho

wergor