Hackangriff auf Webseite -> Wordpress

deleted194629

gelöscht gemäß DSGVO

Registered: Nov 2007
Location:
Posts: 0

28.06.2016 - 12:39

Meine Website wird seit einigen tagen gehackt, bzw so stark abgerufen das sich der Webserver ankotzt. geht alles von eine IP aus.

Habt ihr eine Ahnung was ich dagegen tun kann?
Könnte mir vorstellen das es von meinem Stalker ausgeht.

22.000 Zugriffe auf die wp-login.php pro tag...

Bearbeitet von deleted194629 am 28.06.2016, 12:41

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19777

28.06.2016 - 12:41

Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen.

Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?.

/Edit:

Zitat
22.000 Zugriffe auf die wp-login.php pro tag

Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack.

Bearbeitet von daisho am 28.06.2016, 12:43

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

28.06.2016 - 12:46

ist ein bruteforce.
du kannst ihn selbst per htaccess aussperren oder du machst das ganze z.b. per fail2ban -> gibt ein wordpress plugin, womit du die brute-force angriffe etwas in den griff bekommst - distributed burte-force bekommst damit aber nur schwer in den griff.

alternativ:
installier dir google authenticator und aktivier es für alle accounts - dadurch klappt der login nur noch mit 2faktor token, ich habe bisher darauf keine bruteforce authentications festgestellt.

deleted194629

gelöscht gemäß DSGVO

Registered: Nov 2007
Location:
Posts: 0

28.06.2016 - 12:48

Bin kein Web-Pro... Logs stehen nur meinem provider zur Verfügung, ich hab nur "webalizer Stats"... Es sind mehrere IP-Adressen was ich so sehe.

Offenbar kotzt sich der MySql-Server an.

Hab jetzt mal die wp-login.php umgetauft, scheint zu funktionieren. Zumindest hat sich die Ladezeit der Page normalisiert und man bekommt keinen Timeout mehr.

Bearbeitet von deleted194629 am 28.06.2016, 12:50

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

28.06.2016 - 12:52

wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis.
alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe.

deleted194629

gelöscht gemäß DSGVO

Registered: Nov 2007
Location:
Posts: 0

28.06.2016 - 13:04

Zitat von Smut
wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis.
alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe.

wp-login.php hab ich schon umgetauft, scheint auch erstmal zu helfen.

Google-Authenticator ist eine gute idee, versuche ich am Abend (sofern die Seite nicht gleich wieder down geht wenn ich die wp-login wieder richtig taufe).

Zitat von daisho
Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen.

Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?.

/Edit:

Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack.

wenn ich das ganze richtig deute, handelt es sich derzeit um ~4-5 IP-Adressen (jeweils ~8000 Hits).
IP-Locator (sofern das was aussagt) sagt mir: Deutschland, Amerika, Vietnam, Deutschland...

Bearbeitet von deleted194629 am 28.06.2016, 13:08

BiG_WEaSeL

Elder
-

Registered: Jun 2000
Location: Wien
Posts: 8339

28.06.2016 - 13:11

hilft nur am rande aber: wordfence plugin + wp super cache (und ein amazon cdn konfigurieren, das hilft schon mal)

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4295

28.06.2016 - 13:30

Wenn du eine eigene Domain und Zugriff auf DNS hast, kannst du http://cloudflare.com/ nutzen.

deleted194629

gelöscht gemäß DSGVO

Registered: Nov 2007
Location:
Posts: 0

28.06.2016 - 13:45

Danke, sehe ich mir abends auch an. Hab die Zeichen der Zeit mal genutzt und bin auf ssl umgestiegen. Wenns nicht hilft, Schaden tut es auch nicht. Und die Kosten von 1,6€/Monat werde ich überleben. Im Google Ranking sollte es jedenfalls was bringen.

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25493

28.06.2016 - 13:48

Bei einer kurzfristigen Beeinträchtigung der Performance ist das Aussperren per .htaccess sicherlich die einfachste und zielführendste Methode.

Langfristig solltest du einen Bruteforce-Schutz einbauen, weil das wird immer wieder passieren. Ich empfehle dafür WP Login Security and History, das deutlich weniger aufgeblasen ist als Wordfence und Co. Außerdem siehst du in der History auch gleich, ob es der Bot wirklich geschafft hat bzw. mit welchem Usernamen.

W3 Total Cache solltest du sowieso zusätzlich verwenden, ganz unabhängig von irgendwelchen Attacken. Page-Cache, Object-Cache, DB-Cache und Browser-Cache sollten standardmäßig eingeschalten werden. Das sind 5 Klicks, auch wenn du nicht weißt, was du tust.

deleted194629

gelöscht gemäß DSGVO

Registered: Nov 2007
Location:
Posts: 0

28.06.2016 - 14:02

Vielen lieben dank für die ganzen Tipps. Bin euch zu dank verpflichtet!

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 8999

28.06.2016 - 14:07

und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an

deleted194629

gelöscht gemäß DSGVO

Registered: Nov 2007
Location:
Posts: 0

28.06.2016 - 14:10

Zitat von Umlüx
und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an

Derzeit bin ich wieder auf Kampfgewicht mit 96kg, ich wäre also selbst auch eine gute Ergänzung fürn Schlägertrupp *g*... Wo kann man sich da melden?
Falls es soweit kommt, werd ich was anleiern *g*. Bier geht dann natürlich auf mich :P

btw, wird zeit für eine ocat-spende

Bearbeitet von deleted194629 am 28.06.2016, 14:10

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19777

28.06.2016 - 14:13

lol ... ja wenn es random Angriffe sind, bringt eine Anzeige wohl nichts (wäre eher darauf bezogen wenn das tatsächlich irgendein irrer Stalker ist oder so und jetzt in Noob-Manier versucht deine Logins zu knacken

).

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4111

28.06.2016 - 17:11

beziehst du dich jetzt auf seine erzählung aus einem anderen thread?

deleted194629 gelöscht gemäß DSGVO Registered: Nov 2007 Location: Posts: 0	28.06.2016 - 12:39 Meine Website wird seit einigen tagen gehackt, bzw so stark abgerufen das sich der Webserver ankotzt. geht alles von eine IP aus. Habt ihr eine Ahnung was ich dagegen tun kann? Könnte mir vorstellen das es von meinem Stalker ausgeht. 22.000 Zugriffe auf die wp-login.php pro tag... Bearbeitet von deleted194629 am 28.06.2016, 12:41
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19777	28.06.2016 - 12:41 Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen. Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?. /Edit: Zitat 22.000 Zugriffe auf die wp-login.php pro tag Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack. Bearbeitet von daisho am 28.06.2016, 12:43
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	28.06.2016 - 12:46 ist ein bruteforce. du kannst ihn selbst per htaccess aussperren oder du machst das ganze z.b. per fail2ban -> gibt ein wordpress plugin, womit du die brute-force angriffe etwas in den griff bekommst - distributed burte-force bekommst damit aber nur schwer in den griff. alternativ: installier dir google authenticator und aktivier es für alle accounts - dadurch klappt der login nur noch mit 2faktor token, ich habe bisher darauf keine bruteforce authentications festgestellt.
deleted194629 gelöscht gemäß DSGVO Registered: Nov 2007 Location: Posts: 0	28.06.2016 - 12:48 Bin kein Web-Pro... Logs stehen nur meinem provider zur Verfügung, ich hab nur "webalizer Stats"... Es sind mehrere IP-Adressen was ich so sehe. Offenbar kotzt sich der MySql-Server an. Hab jetzt mal die wp-login.php umgetauft, scheint zu funktionieren. Zumindest hat sich die Ladezeit der Page normalisiert und man bekommt keinen Timeout mehr. Bearbeitet von deleted194629 am 28.06.2016, 12:50
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	28.06.2016 - 12:52 wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis. alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe.
deleted194629 gelöscht gemäß DSGVO Registered: Nov 2007 Location: Posts: 0	28.06.2016 - 13:04 Zitat von Smut wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis. alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe. wp-login.php hab ich schon umgetauft, scheint auch erstmal zu helfen. Google-Authenticator ist eine gute idee, versuche ich am Abend (sofern die Seite nicht gleich wieder down geht wenn ich die wp-login wieder richtig taufe). Zitat von daisho Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen. Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?. /Edit: Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack. wenn ich das ganze richtig deute, handelt es sich derzeit um ~4-5 IP-Adressen (jeweils ~8000 Hits). IP-Locator (sofern das was aussagt) sagt mir: Deutschland, Amerika, Vietnam, Deutschland... Bearbeitet von deleted194629 am 28.06.2016, 13:08
BiG_WEaSeL Elder - Registered: Jun 2000 Location: Wien Posts: 8339	28.06.2016 - 13:11 hilft nur am rande aber: wordfence plugin + wp super cache (und ein amazon cdn konfigurieren, das hilft schon mal)
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4295	28.06.2016 - 13:30 Wenn du eine eigene Domain und Zugriff auf DNS hast, kannst du http://cloudflare.com/ nutzen.
deleted194629 gelöscht gemäß DSGVO Registered: Nov 2007 Location: Posts: 0	28.06.2016 - 13:45 Danke, sehe ich mir abends auch an. Hab die Zeichen der Zeit mal genutzt und bin auf ssl umgestiegen. Wenns nicht hilft, Schaden tut es auch nicht. Und die Kosten von 1,6€/Monat werde ich überleben. Im Google Ranking sollte es jedenfalls was bringen.
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25493	28.06.2016 - 13:48 Bei einer kurzfristigen Beeinträchtigung der Performance ist das Aussperren per .htaccess sicherlich die einfachste und zielführendste Methode. Langfristig solltest du einen Bruteforce-Schutz einbauen, weil das wird immer wieder passieren. Ich empfehle dafür WP Login Security and History, das deutlich weniger aufgeblasen ist als Wordfence und Co. Außerdem siehst du in der History auch gleich, ob es der Bot wirklich geschafft hat bzw. mit welchem Usernamen. W3 Total Cache solltest du sowieso zusätzlich verwenden, ganz unabhängig von irgendwelchen Attacken. Page-Cache, Object-Cache, DB-Cache und Browser-Cache sollten standardmäßig eingeschalten werden. Das sind 5 Klicks, auch wenn du nicht weißt, was du tust.
deleted194629 gelöscht gemäß DSGVO Registered: Nov 2007 Location: Posts: 0	28.06.2016 - 14:02 Vielen lieben dank für die ganzen Tipps. Bin euch zu dank verpflichtet!
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 8999	28.06.2016 - 14:07 und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an
deleted194629 gelöscht gemäß DSGVO Registered: Nov 2007 Location: Posts: 0	28.06.2016 - 14:10 Zitat von Umlüx und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an Derzeit bin ich wieder auf Kampfgewicht mit 96kg, ich wäre also selbst auch eine gute Ergänzung fürn Schlägertrupp g... Wo kann man sich da melden? Falls es soweit kommt, werd ich was anleiern g. Bier geht dann natürlich auf mich :P btw, wird zeit für eine ocat-spende Bearbeitet von deleted194629 am 28.06.2016, 14:10
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19777	28.06.2016 - 14:13 lol ... ja wenn es random Angriffe sind, bringt eine Anzeige wohl nichts (wäre eher darauf bezogen wenn das tatsächlich irgendein irrer Stalker ist oder so und jetzt in Noob-Manier versucht deine Logins zu knacken ).
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4111	28.06.2016 - 17:11 beziehst du dich jetzt auf seine erzählung aus einem anderen thread?

Hackangriff auf Webseite -> Wordpress

Forum Index > Software > Coding Stuff

deleted194629

daisho

Smut

deleted194629

Smut

deleted194629

BiG_WEaSeL

kleinerChemiker

deleted194629

mat

deleted194629

Umlüx

deleted194629

daisho

wergor