"We are back" « oc.at

Hackangriff auf Webseite -> Wordpress

hachigatsu 28.06.2016 - 12:39 3881 15
Posts

deleted194629

gelöscht gemäß DSGVO
Registered: Nov 2007
Location:
Posts: 0
Meine Website wird seit einigen tagen gehackt, bzw so stark abgerufen das sich der Webserver ankotzt. geht alles von eine IP aus.

Habt ihr eine Ahnung was ich dagegen tun kann?
Könnte mir vorstellen das es von meinem Stalker ausgeht.

22.000 Zugriffe auf die wp-login.php pro tag...
Bearbeitet von deleted194629 am 28.06.2016, 12:41

daisho

Vereinsmitglied
SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19777
Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen.

Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?.

/Edit:
Zitat
22.000 Zugriffe auf die wp-login.php pro tag
Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack.
Bearbeitet von daisho am 28.06.2016, 12:43

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16867
ist ein bruteforce.
du kannst ihn selbst per htaccess aussperren oder du machst das ganze z.b. per fail2ban -> gibt ein wordpress plugin, womit du die brute-force angriffe etwas in den griff bekommst - distributed burte-force bekommst damit aber nur schwer in den griff.

alternativ:
installier dir google authenticator und aktivier es für alle accounts - dadurch klappt der login nur noch mit 2faktor token, ich habe bisher darauf keine bruteforce authentications festgestellt.

deleted194629

gelöscht gemäß DSGVO
Registered: Nov 2007
Location:
Posts: 0
Bin kein Web-Pro... Logs stehen nur meinem provider zur Verfügung, ich hab nur "webalizer Stats"... Es sind mehrere IP-Adressen was ich so sehe.

Offenbar kotzt sich der MySql-Server an.

Hab jetzt mal die wp-login.php umgetauft, scheint zu funktionieren. Zumindest hat sich die Ladezeit der Page normalisiert und man bekommt keinen Timeout mehr.
Bearbeitet von deleted194629 am 28.06.2016, 12:50

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16867
wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis.
alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe.

deleted194629

gelöscht gemäß DSGVO
Registered: Nov 2007
Location:
Posts: 0
Zitat von Smut
wenn das ganze gehosted ist, dann check dir google authenticator - damit erziehlst am schnellsten ein ergebnis.
alternativ - wenn es ein last-problem wird, könntest auch die wp-login umbenennen, auch dafür gibt es plugins - das schützt halt vorallem gegen die komplett automatisierten bruteforce angriffe.

wp-login.php hab ich schon umgetauft, scheint auch erstmal zu helfen.

Google-Authenticator ist eine gute idee, versuche ich am Abend (sofern die Seite nicht gleich wieder down geht wenn ich die wp-login wieder richtig taufe).


Zitat von daisho
Was wird abgerufen? Wenn es eine richtige Attacke ist (z.B. DDoS), Infos sammeln (Logs, ...) und anzeigen.

Wenn es quasi keine Auswirkungen hat (hört sich nach deiner Angabe nicht so an), ignorieren - wenn ihm nur fad ist wird es wohl nach einem Tag aufhören!?.

/Edit:

Von derselben IP? Mit der IP Adresse kann man zumindest erfahren woher die kommt (Land, Provider). Von derselben IP Adresse? Dann klingt es nach einem billigen Bruteforce-Attack.

wenn ich das ganze richtig deute, handelt es sich derzeit um ~4-5 IP-Adressen (jeweils ~8000 Hits).
IP-Locator (sofern das was aussagt) sagt mir: Deutschland, Amerika, Vietnam, Deutschland...
Bearbeitet von deleted194629 am 28.06.2016, 13:08

BiG_WEaSeL

Elder
-
Avatar
Registered: Jun 2000
Location: Wien
Posts: 8339
hilft nur am rande aber: wordfence plugin + wp super cache (und ein amazon cdn konfigurieren, das hilft schon mal)

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4295
Wenn du eine eigene Domain und Zugriff auf DNS hast, kannst du http://cloudflare.com/ nutzen.

deleted194629

gelöscht gemäß DSGVO
Registered: Nov 2007
Location:
Posts: 0
Danke, sehe ich mir abends auch an. Hab die Zeichen der Zeit mal genutzt und bin auf ssl umgestiegen. Wenns nicht hilft, Schaden tut es auch nicht. Und die Kosten von 1,6€/Monat werde ich überleben. Im Google Ranking sollte es jedenfalls was bringen.

mat

Administrator
Legends never die
Avatar
Registered: Aug 2003
Location: nö
Posts: 25493
Bei einer kurzfristigen Beeinträchtigung der Performance ist das Aussperren per .htaccess sicherlich die einfachste und zielführendste Methode.

Langfristig solltest du einen Bruteforce-Schutz einbauen, weil das wird immer wieder passieren. Ich empfehle dafür WP Login Security and History, das deutlich weniger aufgeblasen ist als Wordfence und Co. Außerdem siehst du in der History auch gleich, ob es der Bot wirklich geschafft hat bzw. mit welchem Usernamen.

W3 Total Cache solltest du sowieso zusätzlich verwenden, ganz unabhängig von irgendwelchen Attacken. Page-Cache, Object-Cache, DB-Cache und Browser-Cache sollten standardmäßig eingeschalten werden. Das sind 5 Klicks, auch wenn du nicht weißt, was du tust.

deleted194629

gelöscht gemäß DSGVO
Registered: Nov 2007
Location:
Posts: 0
Vielen lieben dank für die ganzen Tipps. Bin euch zu dank verpflichtet! :)

Umlüx

Huge Metal Fan
Avatar
Registered: Jun 2001
Location: Kärnten
Posts: 8999
und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an :D

deleted194629

gelöscht gemäß DSGVO
Registered: Nov 2007
Location:
Posts: 0
Zitat von Umlüx
und wenn du den offiziellen oc.at schlägertrupp brauchst um deinen stalker zu besuchen, läut mal im internen forum an :D

Derzeit bin ich wieder auf Kampfgewicht mit 96kg, ich wäre also selbst auch eine gute Ergänzung fürn Schlägertrupp *g*... Wo kann man sich da melden?
Falls es soweit kommt, werd ich was anleiern *g*. Bier geht dann natürlich auf mich :P

btw, wird zeit für eine ocat-spende :)
Bearbeitet von deleted194629 am 28.06.2016, 14:10

daisho

Vereinsmitglied
SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19777
lol ... ja wenn es random Angriffe sind, bringt eine Anzeige wohl nichts (wäre eher darauf bezogen wenn das tatsächlich irgendein irrer Stalker ist oder so und jetzt in Noob-Manier versucht deine Logins zu knacken :p).

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: vulkanland
Posts: 4111
beziehst du dich jetzt auf seine erzählung aus einem anderen thread? :D
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz