Seite 1 von 2
Seite kompromittieren / Wordpress Hack?
Verfasst: 24. Sep 2021, 19:26
von Pan Sartre
Ich hoffe, ich habe irgendetwas nicht mitbekommen, aber wenn man "gamespodcast" googelt, erscheint das Suchergebnis mit japanischen Schriftzeichen. Bei mir am PC und am Handy. Habe das auch von anderen Leuten googelt lassen und die hatten dasselbe "Problem". Da meine eigene Wordpress Seite mal vor Jahren durch eine Sicherheitslücke manipuliert wurde (hat Pornolinks verteilt
) und die japanischen Schriftzeichen wohl irgendwelche Produkte bewerben (laut Translator), wollt ich nur mal darüber informieren oder zumindest nachfragen, ob das so soll.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 24. Sep 2021, 19:48
von Mutantenjupp
Haha, ja irgendwas ist da passiert. Sieht man aktuell noch im Google Cache:
https://webcache.googleusercontent.com/ ... odcast.de/
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 24. Sep 2021, 19:50
von Andre Peschke
Sind schon dabei, uns das anzusehen. Gibt wohl Schwachstellen in Wordpress mit denen solche Infos eingeschleust werden können, was dann vor allem eine Gefahr für unser Suchranking wäre. :/
Das die Webseite je so aussah wie im Webcache wäre komisch, weil wir haben da bisher noch nix entfernt.
Andre
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 24. Sep 2021, 20:54
von Boris
Andre Peschke hat geschrieben: ↑24. Sep 2021, 19:50
Das die Webseite je so aussah wie im Webcache wäre komisch, weil wir haben da bisher noch nix entfernt.
Da muss ich euch leider enttaeuschen. Sie sah nicht nur so aus, sie sieht immer noch so aus, wenn man anfragt wie Google anfragt.
Die Unterscheidung erfolgt anhand des User-Agent. Wenn der "Googlebot" behinhaltet, dann kommt auch jetzt im Moment die Seite mit dem Japanischen Defacement.
Code: Alles auswählen
$ wget --quiet -O - --header="User-Agent: Googlebot" https://www.gamespodcast.de/
Wenn man mit irgendeinem Standard-User-Agent anfragt, dann kommt die normale Seite:
<!doctype html >
<!--[if IE 8]> <html class="ie8" lang="en"> <![endif]-->
<!--[if IE 9]> <html class="ie9" lang="en"> <![endif]-->
<!--[if gt IE 8]><!--> <html lang="de-DE"> <!--<![endif]-->
<head>
<title>The Pod | Das Spielemagazin zum Hören</title>
[...]
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 24. Sep 2021, 20:58
von Desotho
https://sitecheck.sucuri.net/results/ht ... podcast.de
spam-seo
Description:
Changes to websites made by hackers with a goal to improve search engine ranking of third-party websites or to drive search traffic to third-party websites via doorway pages on compromised sites. Spam-seo malware may include
invisible links
spammy posts
unwanted redirects of search traffic
Affecting: Any web site (no specific target).
CMS: WordPress 4.9.18
=> Echt?
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 24. Sep 2021, 21:57
von Andre Peschke
Boris hat geschrieben: ↑24. Sep 2021, 20:54
Da muss ich euch leider enttaeuschen. Sie sah nicht nur so aus, sie sieht immer noch so aus, wenn man anfragt wie Google anfragt.
Die Unterscheidung erfolgt anhand des User-Agent. Wenn der "Googlebot" behinhaltet, dann kommt auch jetzt im Moment die Seite mit dem Japanischen Defacement.
Wieder was gelernt. o.O
Andre
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 25. Sep 2021, 08:15
von ragdel
Desotho hat geschrieben: ↑24. Sep 2021, 20:58
CMS: WordPress 4.9.18
=> Echt?
Zumindest gibt die Seite selbst auch diese Version aus. Der RSS Feed auch.
Ist natürlich super bitter. Die Version ist von Mai mit dementsprechenden Exploits.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 25. Sep 2021, 08:31
von Andre Peschke
ragdel hat geschrieben: ↑25. Sep 2021, 08:15
Zumindest gibt die Seite selbst auch diese Version aus. Der RSS Feed auch.
Ist natürlich super bitter. Die Version ist von Mai mit dementsprechenden Exploits.
Ja, da ist eine lange Geschichte. Die Kurzfassung ist: Webdev Dominik ist nach Holland gezogen und hat nicht mehr so die Zeit. Andre hatte zwischendrin ein Update versucht, aber das hatte Probleme, also Rollback. Übergang zu neuem Webdev hat sich verzögert. -> Lange Update Lücke.
Das aber die Strafe so auf dem Fuße folgen muss. Seufz.
Die ersten Arbeiten sind jedenfalls erledigt. Größeres Update kommt dann separat.
Andre
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 25. Sep 2021, 09:48
von Boris
ragdel hat geschrieben: ↑25. Sep 2021, 08:15
Ist natürlich super bitter. Die Version ist von Mai mit dementsprechenden Exploits.
Welche waeren das? Seit Mai gibt es anscheinend ein Security-Advisory von Wordpress, das von dieser Woche, und laut dem sind von den neuen Luecken nur Versionen ab 5.4 betroffen.
Generell lesen sich die Advisories der letzten 3 Jahre so als waere alles relevante bis runter zur 3.7 portiert worden.
Will um (und kann!) es natuerlich nicht ausschliessen und es ist sicher immer besser die neuste Version zu nutzen statt sich auf die Backports zu verlassen, aber es klingt jetzt nicht
direkt als waere ein veraltetes Wordpress Schuld.
Aber es gibt ja auch noch veraltete Plugins oder Themes als Moeglichkeit, die man von aussen nicht direkt erkennen kann.
Gerade wenn man ein Theme kopiert und als Basis fuer ein eigenes Theme nimmt kriegt man ja nie wieder Updates fuer dieses Theme.
Andre Peschke hat geschrieben: ↑24. Sep 2021, 21:57
Wieder was gelernt. o.O
Immerhin kann man den User-Agent aendern (gibt auch Browser-Extensions dafuer) um sowas zu testen. Wenn sie das Anhand der Google-IPs machen wuerden waere man vollkommen aufgeschmissen.
Ist aus sicht der Angreifer ne “super” Taktik weil ihr als Besitzer der Seite nichtmal merkt. So kann das wochen und monatelang online bleiben, waehrend ein generelles Defacement ja direkt auffaellt.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 25. Sep 2021, 16:26
von Desotho
Andre Peschke hat geschrieben: ↑25. Sep 2021, 08:31
Das aber die Strafe so auf dem Fuße folgen muss. Seufz.
WordPress ist halt extrem populär und allein durch die Verbreitung eine attraktive Zielscheibe.
Kollege hat mal ein WordPress zum testen installiert mit einem extrem simplen Passwort und das Ding war 5 Minuten nach der Installation gehacked
Meistens sind die Einfallstore aber Plugins und Themes. Ich denke da nur an den netten Themegrill Hack. Und gerade fallen vielen Leuten ein bestimmtes DSGVO Plugin auf die Füße.
Aber solange man zumindest ein sauberes Backup von Verzeichnis und Datenbank hat geht es.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 25. Sep 2021, 21:44
von DickHorner
Hatte auch mal so eine Attacke, war echt übel. Mir blieb am Ende nichts anderes übrig als neu aufzusetzen.
Ist mir tatsächlich auch erst aufgefallen, als ich meine Google-Suche gecheckt habe - hatte damals den ersten Platz in der Suche. Das war echt ein Schock.
Hab zu einem Hoster gewechselt mit automatischen täglichen Backups und dann noch Wordfence installiert, seit dem ist Ruhe.
Und das Ranking war dann nach dem nächsten Index-Lauf von Google auch wieder ok.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 26. Sep 2021, 20:39
von Boris
Ein Lob fuer die Mail uebrigens. Da koennten sich viele grosse Firmen ne Scheibe von Abschneiden in Klarheit und Detailgrad. Haette natuerlich nicht so viel anderes erwartet.
Und auch schoen, dass es schon Plaene gibt noch weniger Daten zu speichern. Klingt interessant.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 26. Sep 2021, 22:09
von Azralex
Finde ich auch top, vorbildlich reagiert!
Viel Erfolg beim Aufräumen.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 26. Sep 2021, 23:00
von Jochen Gebauer
Ich muss hier übrigens mal ne richtig fette Lanze für André brechen: Nicht nur ist der offiziell noch im Urlaub, nein. Er hat sich sofort zusammen mit der Technik um den Hack gekümmert, mir heute die Mail zum Gegenchecken geschickt (im Sinne von: Ist da irgendwo ein Fehler, nicht inhaltlich), die ganzen Updates usw. angeleiert. Einfach weil es nötig war und er weiß, dass ich gerade blöderweise ein paar private Sachen um die Ohren habe und es gut wäre, wenn er sich dann schnell, unkompliziert und gut um diese Situation kümmert. Beste Kollege ever.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 27. Sep 2021, 00:03
von lolaldanee
Ein Hoch auf André!
(und auf euch alle anderen auch, aber besonders André)
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 27. Sep 2021, 08:02
von zetdeef
André not the hero we deserve, but the hero we need.
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 27. Sep 2021, 08:51
von Lurtz
Vorbildlich, da wirft man euch gerne 10$ an den Kopf
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 27. Sep 2021, 12:01
von Desotho
Na fein
Hat mit dem Fall nix zu tun, aber das Plugin dass derzeit vielen WordPress Nutzern um die Ohren fliegt nennt sich "shapepress-dsgvo"
https://nfandrich.net/wp-dsgvo-tools-sh ... abilities/
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 27. Sep 2021, 12:14
von bluttrinker13
Ja, bei euch ist man einfach in guten Händen. Gz!
Re: Seite kompromittieren / Wordpress Hack?
Verfasst: 27. Sep 2021, 12:29
von Lurtz