Seite kompromittieren / Wordpress Hack?

Irgendwas funktioniert nicht. Ihr wollt, dass es funktioniert. Aber das tut es nicht. Ihr seid ratlos. Ihr braucht Hilfe! Hilfe, von den einzigen Menschen, die einem in dieser harten, unbarmherzigen Welt immer eine helfende Hand reichen: uns!
Forumsregeln
Datenschutzerklärung: https://www.gamespodcast.de/datenschutzerklaerung/
Impressum: https://www.gamespodcast.de/impressum/

Forenregeln und zukünftige Weltverfassung
ART 1: Behandle andere Nutzer mit Respekt.
ART 2: Do NOT piss off the Podcasters

Lies bitte weitere Hinweise hier: viewtopic.php?f=4&t=2789
Benutzeravatar
Pan Sartre
Beiträge: 271
Registriert: 1. Aug 2017, 22:19
Kontaktdaten:

Seite kompromittieren / Wordpress Hack?

Beitrag von Pan Sartre »

Ich hoffe, ich habe irgendetwas nicht mitbekommen, aber wenn man "gamespodcast" googelt, erscheint das Suchergebnis mit japanischen Schriftzeichen. Bei mir am PC und am Handy. Habe das auch von anderen Leuten googelt lassen und die hatten dasselbe "Problem". Da meine eigene Wordpress Seite mal vor Jahren durch eine Sicherheitslücke manipuliert wurde (hat Pornolinks verteilt :D ) und die japanischen Schriftzeichen wohl irgendwelche Produkte bewerben (laut Translator), wollt ich nur mal darüber informieren oder zumindest nachfragen, ob das so soll. :lol:
Dateianhänge
Screenshot 2021-09-24 192319.jpg
Screenshot 2021-09-24 192319.jpg (98.76 KiB) 3014 mal betrachtet
Mutantenjupp
Beiträge: 129
Registriert: 3. Dez 2017, 08:16

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Mutantenjupp »

Haha, ja irgendwas ist da passiert. Sieht man aktuell noch im Google Cache:
https://webcache.googleusercontent.com/ ... odcast.de/
Benutzeravatar
Andre Peschke
Beiträge: 9731
Registriert: 9. Jan 2016, 16:16
Kontaktdaten:

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Andre Peschke »

Sind schon dabei, uns das anzusehen. Gibt wohl Schwachstellen in Wordpress mit denen solche Infos eingeschleust werden können, was dann vor allem eine Gefahr für unser Suchranking wäre. :/

Das die Webseite je so aussah wie im Webcache wäre komisch, weil wir haben da bisher noch nix entfernt.

Andre
Benutzeravatar
Boris
Beiträge: 406
Registriert: 30. Jan 2017, 20:54

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Boris »

Andre Peschke hat geschrieben: 24. Sep 2021, 19:50 Das die Webseite je so aussah wie im Webcache wäre komisch, weil wir haben da bisher noch nix entfernt.
Da muss ich euch leider enttaeuschen. Sie sah nicht nur so aus, sie sieht immer noch so aus, wenn man anfragt wie Google anfragt.
Die Unterscheidung erfolgt anhand des User-Agent. Wenn der "Googlebot" behinhaltet, dann kommt auch jetzt im Moment die Seite mit dem Japanischen Defacement.

Code: Alles auswählen

$ wget --quiet -O - --header="User-Agent: Googlebot" https://www.gamespodcast.de/
<!doctype html><html lang="ja"><head prefix="og: http://ogp.me/ns# fb: http://ogp.me/ns/fb# article: http://ogp.me/ns/article#">
<meta name="keywords" content="【送料無料】仮面の忍者赤影 第三部「根來篇」 【DVD】" />
[...]
Wenn man mit irgendeinem Standard-User-Agent anfragt, dann kommt die normale Seite:

Code: Alles auswählen

$ wget --quiet -O - https://www.gamespodcast.de/
<!doctype html >
<!--[if IE 8]> <html class="ie8" lang="en"> <![endif]-->
<!--[if IE 9]> <html class="ie9" lang="en"> <![endif]-->
<!--[if gt IE 8]><!--> <html lang="de-DE"> <!--<![endif]-->
<head>
<title>The Pod | Das Spielemagazin zum Hören</title>
[...]
Benutzeravatar
Desotho
Beiträge: 5512
Registriert: 13. Dez 2016, 19:05
Kontaktdaten:

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Desotho »

https://sitecheck.sucuri.net/results/ht ... podcast.de

spam-seo
Description:
Changes to websites made by hackers with a goal to improve search engine ranking of third-party websites or to drive search traffic to third-party websites via doorway pages on compromised sites. Spam-seo malware may include

invisible links
spammy posts
unwanted redirects of search traffic
Affecting: Any web site (no specific target).
CMS: WordPress 4.9.18
=> Echt? :ugly:
El Psy Kongroo
Benutzeravatar
Andre Peschke
Beiträge: 9731
Registriert: 9. Jan 2016, 16:16
Kontaktdaten:

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Andre Peschke »

Boris hat geschrieben: 24. Sep 2021, 20:54 Da muss ich euch leider enttaeuschen. Sie sah nicht nur so aus, sie sieht immer noch so aus, wenn man anfragt wie Google anfragt.
Die Unterscheidung erfolgt anhand des User-Agent. Wenn der "Googlebot" behinhaltet, dann kommt auch jetzt im Moment die Seite mit dem Japanischen Defacement.
Wieder was gelernt. o.O

Andre
Benutzeravatar
ragdel
Beiträge: 384
Registriert: 9. Jul 2016, 13:12

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von ragdel »

Desotho hat geschrieben: 24. Sep 2021, 20:58
CMS: WordPress 4.9.18
=> Echt? :ugly:
Zumindest gibt die Seite selbst auch diese Version aus. Der RSS Feed auch.
Ist natürlich super bitter. Die Version ist von Mai mit dementsprechenden Exploits.
Benutzeravatar
Andre Peschke
Beiträge: 9731
Registriert: 9. Jan 2016, 16:16
Kontaktdaten:

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Andre Peschke »

ragdel hat geschrieben: 25. Sep 2021, 08:15 Zumindest gibt die Seite selbst auch diese Version aus. Der RSS Feed auch.
Ist natürlich super bitter. Die Version ist von Mai mit dementsprechenden Exploits.
Ja, da ist eine lange Geschichte. Die Kurzfassung ist: Webdev Dominik ist nach Holland gezogen und hat nicht mehr so die Zeit. Andre hatte zwischendrin ein Update versucht, aber das hatte Probleme, also Rollback. Übergang zu neuem Webdev hat sich verzögert. -> Lange Update Lücke.

Das aber die Strafe so auf dem Fuße folgen muss. Seufz.

Die ersten Arbeiten sind jedenfalls erledigt. Größeres Update kommt dann separat.

Andre
Benutzeravatar
Boris
Beiträge: 406
Registriert: 30. Jan 2017, 20:54

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Boris »

ragdel hat geschrieben: 25. Sep 2021, 08:15 Ist natürlich super bitter. Die Version ist von Mai mit dementsprechenden Exploits.
Welche waeren das? Seit Mai gibt es anscheinend ein Security-Advisory von Wordpress, das von dieser Woche, und laut dem sind von den neuen Luecken nur Versionen ab 5.4 betroffen.

Generell lesen sich die Advisories der letzten 3 Jahre so als waere alles relevante bis runter zur 3.7 portiert worden.
Will um (und kann!) es natuerlich nicht ausschliessen und es ist sicher immer besser die neuste Version zu nutzen statt sich auf die Backports zu verlassen, aber es klingt jetzt nicht direkt als waere ein veraltetes Wordpress Schuld.

Aber es gibt ja auch noch veraltete Plugins oder Themes als Moeglichkeit, die man von aussen nicht direkt erkennen kann.
Gerade wenn man ein Theme kopiert und als Basis fuer ein eigenes Theme nimmt kriegt man ja nie wieder Updates fuer dieses Theme.
Andre Peschke hat geschrieben: 24. Sep 2021, 21:57 Wieder was gelernt. o.O
Immerhin kann man den User-Agent aendern (gibt auch Browser-Extensions dafuer) um sowas zu testen. Wenn sie das Anhand der Google-IPs machen wuerden waere man vollkommen aufgeschmissen.
Ist aus sicht der Angreifer ne “super” Taktik weil ihr als Besitzer der Seite nichtmal merkt. So kann das wochen und monatelang online bleiben, waehrend ein generelles Defacement ja direkt auffaellt.
Benutzeravatar
Desotho
Beiträge: 5512
Registriert: 13. Dez 2016, 19:05
Kontaktdaten:

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Desotho »

Andre Peschke hat geschrieben: 25. Sep 2021, 08:31 Das aber die Strafe so auf dem Fuße folgen muss. Seufz.
WordPress ist halt extrem populär und allein durch die Verbreitung eine attraktive Zielscheibe.
Kollege hat mal ein WordPress zum testen installiert mit einem extrem simplen Passwort und das Ding war 5 Minuten nach der Installation gehacked :shock:

Meistens sind die Einfallstore aber Plugins und Themes. Ich denke da nur an den netten Themegrill Hack. Und gerade fallen vielen Leuten ein bestimmtes DSGVO Plugin auf die Füße.

Aber solange man zumindest ein sauberes Backup von Verzeichnis und Datenbank hat geht es.
El Psy Kongroo
Benutzeravatar
DickHorner
Beiträge: 958
Registriert: 30. Aug 2018, 10:26

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von DickHorner »

Hatte auch mal so eine Attacke, war echt übel. Mir blieb am Ende nichts anderes übrig als neu aufzusetzen.
Ist mir tatsächlich auch erst aufgefallen, als ich meine Google-Suche gecheckt habe - hatte damals den ersten Platz in der Suche. Das war echt ein Schock.
Hab zu einem Hoster gewechselt mit automatischen täglichen Backups und dann noch Wordfence installiert, seit dem ist Ruhe.
Und das Ranking war dann nach dem nächsten Index-Lauf von Google auch wieder ok.
Benutzeravatar
Boris
Beiträge: 406
Registriert: 30. Jan 2017, 20:54

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Boris »

Ein Lob fuer die Mail uebrigens. Da koennten sich viele grosse Firmen ne Scheibe von Abschneiden in Klarheit und Detailgrad. Haette natuerlich nicht so viel anderes erwartet. ;)
Und auch schoen, dass es schon Plaene gibt noch weniger Daten zu speichern. Klingt interessant.
Benutzeravatar
Azralex
Beiträge: 974
Registriert: 24. Okt 2019, 22:28

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Azralex »

Finde ich auch top, vorbildlich reagiert!

Viel Erfolg beim Aufräumen.
Benutzeravatar
Jochen Gebauer
Beiträge: 1364
Registriert: 1. Nov 2020, 17:41

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Jochen Gebauer »

Ich muss hier übrigens mal ne richtig fette Lanze für André brechen: Nicht nur ist der offiziell noch im Urlaub, nein. Er hat sich sofort zusammen mit der Technik um den Hack gekümmert, mir heute die Mail zum Gegenchecken geschickt (im Sinne von: Ist da irgendwo ein Fehler, nicht inhaltlich), die ganzen Updates usw. angeleiert. Einfach weil es nötig war und er weiß, dass ich gerade blöderweise ein paar private Sachen um die Ohren habe und es gut wäre, wenn er sich dann schnell, unkompliziert und gut um diese Situation kümmert. Beste Kollege ever.
Benutzeravatar
lolaldanee
Beiträge: 2093
Registriert: 2. Jun 2016, 14:05

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von lolaldanee »

Ein Hoch auf André!
(und auf euch alle anderen auch, aber besonders André)
Benutzeravatar
zetdeef
Beiträge: 222
Registriert: 5. Mai 2018, 14:09

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von zetdeef »

André not the hero we deserve, but the hero we need.
Benutzeravatar
Lurtz
Beiträge: 3927
Registriert: 22. Feb 2016, 17:19

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Lurtz »

Vorbildlich, da wirft man euch gerne 10$ an den Kopf :clap:
Children are dying.
That's a succinct summary of humankind, I'd say. Who needs tomes and volumes of history? Children are dying. The injustices of the world hide in those three words.
Benutzeravatar
Desotho
Beiträge: 5512
Registriert: 13. Dez 2016, 19:05
Kontaktdaten:

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Desotho »

Na fein :D

Hat mit dem Fall nix zu tun, aber das Plugin dass derzeit vielen WordPress Nutzern um die Ohren fliegt nennt sich "shapepress-dsgvo"

https://nfandrich.net/wp-dsgvo-tools-sh ... abilities/
El Psy Kongroo
Benutzeravatar
bluttrinker13
Beiträge: 4844
Registriert: 4. Jun 2016, 22:44

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von bluttrinker13 »

Ja, bei euch ist man einfach in guten Händen. Gz!
Benutzeravatar
Lurtz
Beiträge: 3927
Registriert: 22. Feb 2016, 17:19

Re: Seite kompromittieren / Wordpress Hack?

Beitrag von Lurtz »

Desotho hat geschrieben: 27. Sep 2021, 12:01 Hat mit dem Fall nix zu tun, aber das Plugin dass derzeit vielen WordPress Nutzern um die Ohren fliegt nennt sich "shapepress-dsgvo"

https://nfandrich.net/wp-dsgvo-tools-sh ... abilities/
Oh the irony...
Children are dying.
That's a succinct summary of humankind, I'd say. Who needs tomes and volumes of history? Children are dying. The injustices of the world hide in those three words.
Antworten