skoprion1800
Goto Top

Was ist das für eine URL-Hijacking?

Hallo liebe Forengemeinde,


habe seit einem halben Jahr Wordpress in Benutzung und bei einem Bekannten einen Server angemietet.
Und jetzt habe ich auf meiner eigenen Website wenn ich im Headerbereich auf andere Seiten will,
solche Gewinnspiel und Dating Verlinkungen.
Am Browser liegts nicht. Wisst Ihr was das ist, und wie man dies wegbekommt`?


Grüße
Patrick
screenshot 2022-09-02 003746

Content-Key: 3816987722

Url: https://administrator.de/contentid/3816987722

Printed on: May 23, 2024 at 09:05 o'clock

Member: LordGurke
Solution LordGurke Sep 01, 2022 at 22:48:11 (UTC)
Goto Top
Da hat jemand das Wordpress aufgemacht (in 9 von 10 Fällen über ein verwundbares, eventuell sogar nicht mehr gepflegtes Plugin oder Theme).
Das wirst du nur los, wenn du das Wordpress aufwendig säuberst. Besser ist, du exportierst die Inhalte, installierst das frisch neu (in eine frische Datenbank) und dann sollten nur wirklich die Plugins installiert werden, die man wirklich braucht.
Mitglied: 108012
Solution 108012 Sep 01, 2022 at 23:17:56 (UTC)
Goto Top
Hallo,

habe seit einem halben Jahr Wordpress in Benutzung
Und immer aktuell gehalten?

und bei einem Bekannten einen Server angemietet.
Und der pflegt den wie?

+ 1 für @LordGurke


War eigentlich schon alles gesagt aber man glaubt es manchmal auch erst wenn es mehrere so formulieren.

Dobby
Member: skoprion1800
skoprion1800 Sep 01, 2022 at 23:43:53 (UTC)
Goto Top
Danke Ihr lieben....
Das war jetzt die Bestätigung.... wenn man nie Plugins aktualisiert bzw. updated...
.. d.h.: mal wieder extra Arbeit... Ich könnte fluchen..
habe schon die Plugins aktualisiert, aber bringt auch nichts mehr.....

Lasse schon immer alles so minimalistisch laufen wie es nur geht..

Danke Euch!
Member: maretz
maretz Sep 02, 2022 at 04:15:24 (UTC)
Goto Top
Zitat von @skoprion1800:

Danke Ihr lieben....
Das war jetzt die Bestätigung.... wenn man nie Plugins aktualisiert bzw. updated...
.. d.h.: mal wieder extra Arbeit... Ich könnte fluchen..
habe schon die Plugins aktualisiert, aber bringt auch nichts mehr.....

Lasse schon immer alles so minimalistisch laufen wie es nur geht..

Danke Euch!

Nun - jeder Server der im Netz ist macht eben "extra Arbeit". Einfach nur "hinstellen und laufen lassen" geht da bei den wenigsten Dingen und du kannst an sich noch froh sein das es zum einen so offentsichtlich war und zum anderen nur ein bisserl Werbung. Blöd wirds wenn da illegale Inhalte hinterlegt werden und dein Server z.B. grad Pornos von Kindern verbreitet...
Member: HanTrio
HanTrio Sep 02, 2022 at 05:28:18 (UTC)
Goto Top
Tip für die Zukunft:
Im "professionellen" Bereich (also jetzt im Gegensatz zu "mein Kumpel macht das irgendwie") sind Update SLAs ggf. Bestandteil eines Vertrages ;)

In dem speziellen Fall würde vmtl. noch unterschieden werden zwischen:
- dem Server an sich (besonders, wenn es sich um shared Systeme handelt, wo der Betreiber einer einzelnen Seite keinen direkten, systemadministrativen Zugriff hat)
- dem Wordpress inkl. Plugins, was durchaus auch der Seiten-Betreiber tun kann / sollte.
Member: skoprion1800
skoprion1800 Sep 02, 2022 at 20:20:33 (UTC)
Goto Top
Nunja, es ist meine Schuld.
Ich habe seit Wochen die Plugins NICHT aktualisiert.
( War mir bisher nicht bewusst. )

Ich bin der Seitenbetreiber, und ein Bekannter vermietet Server, und hat mir das ganze eingerichtet. Aber verantwortlich bin dafür ich.
Eine Frage noch an die Profis:

Ich lasse mir nochmal zusätzlich einen Server aufstellen, mit einer frischen Wordpress Installation. Das alte Backup werde ich natürlich versuchen,
andererseits, wenn man die Inhalte Kopiert und im neuem einfügt ( über den gleichen Browser müsste oder dürfte dies gehen? )
müsste das ganze sauber dann bleiben? Oder kann diese "Werbung" ( was ist der Begriff eigentlich dafür? - URL-Hijacking-Malware? ) sich da drinnen auch verbergen?

Kann so etwas nur gezielt verrichtet werden?

Grüße
Member: HanTrio
Solution HanTrio Sep 03, 2022 at 08:19:55 (UTC)
Goto Top
Du hast momentan zwei Probleme ;)

1) Du weißt nicht, WIE da jemand von außen ran / rein gekommen ist
2) Du weißt nicht, WO die Änderungen hinterlegt wurden, bzw. WAS verändert wurde, was nun diese Auswirkungen hat.

Am wahrscheinlichsten ist, wie erwähnt, dass (gezielt) dein Wordpress bzw. ein Plugin exploited wurde, sich also Jemand speziell in deiner Umgebung "eingenistet" hat.
Es ist natürlich nicht auszuschließen, dass der ganze Server ein (Sicherheits)problem hat, aber das ist erfahrungsgemäß - im Vergleich - unwahrscheinlicher, und außerdem hätte der Betreiber dann hoffentlich noch andere Anzeichen dafür bemerkt ;)

Du solltest nun zwei Dinge sicherstellen:
- Entfernung der ungewünschten Inhalte
- Sicherstellung, dass das nicht nochmal passiert

Wenn du ein Backup deiner Seite hast, von einem Zeitpunkt, bei dem das Ganze noch nicht aufgetreten war, dann hast du vmtl. ganz gute Chancen, es damit loszuwerden. Wichtig ist halt, das Backup muss "sauber sein".
Vorausgesetzt, du aktualisierst alles direkt im Anschluss an dessen Einspielung, oder besser noch sofort nach Aufsetzung des Wordpress.
Dann ersparst du dir nicht nur die Suche gemäß Punkt 2), sondern hast (hoffentlich) auch das Loch gleich gestopft.

Es bleibt Punkt 1) - das WIE
Das wirst du vmtl. - ohne aufwändige Recherche - nie herausfinden, du kannst nur die Wahrscheinlichkeit minimieren, dass es erneut passiert.
Da führt kein Weg an regelmäßigen (!) Aktualisierungen / Patches vorbei, sowohl im Wordpress selber, als auch auf dem Server insgesamt.
Member: maretz
maretz Sep 03, 2022 at 08:47:02 (UTC)
Goto Top
Wie kommst du darauf das der Wordpress-Angriff "speziell" war? Ganz ehrlich - wenn ich auf meinem Webserver gucke sehe ich tonnen von Angriffen auf Wordpress-Dinger (obwohl nich mal nen WP installiert ist). Das sind idR irgendwelche Script-Kiddys die eben ganze Bereiche abscannen und eben auch ab und an ne ungepatchte Version finden...
Member: HanTrio
HanTrio Sep 03, 2022 at 08:51:50 (UTC)
Goto Top
Ich meinte speziell (ein) Wordpress, im Gegensatz zu irgendwelchen root exploits o.ä. auf einem ganzen Server ;)

Aber ist schon richtig, wenn ne Schwachstelle vorhanden ist, ist es keine Frage des Ob, sondern nur des Wann.
Member: skoprion1800
skoprion1800 Sep 03, 2022 at 11:25:13 (UTC)
Goto Top
Leute danke!
Weil das letzte backup nur 4 Tage davor gemacht wurde,
bevor es mir überhaupt aufgefallen ist....
Deswegen lasse ich dann einen neuen Server aufsetzen, versuche das ganze nochmal so,
und / oder dann "die Sektionen" kopieren & manuell einfügen.
Das kann ja nur in den Plugins drin sein, und beim kopieren dann ja normal nicht über die einzelnen Sektionen mit aufs neue System übernommen werden.

Aber ja.. da lernt man mal wieder gleich dazu...