[Gelöst]: Website gehackt (Protokoll mit externen Zugriffen)

[onastras]

Ich habe eine Domain bei einem Hosting-Anbieter, die über Plesk verwaltet wird. Diese Domain wurde jetzt vom Anbieter erst offline genommen und dann wieder mit Passwortschutz online gestellt, da es einen ernom hohen Traffic auf der Seite gab und der Anbieter von einem Hack ausging.

Ich habe nicht viel Ahnung von sowas und daher einige Schritte von Ratgebern befolgt. Letztendlich habe ich meine gesamte Wordpress-Installation gelöscht und neu aufgesetzt. Trotzdem ist mein Protokoll weiter komplett zugemüllt von diesen externen Zugriffen auf die Domain. Gibt es einen Weg diese loszuwerden oder muss ich sogar meine Domain wechseln?

 

[GamerzHost.de]

Was willst Du mit einem Domainwechsel, das dauert nicht lange und das Spiel geht wieder von vorn los.

Mit den Informationen von Dir wird aber keiner etwas anfangen können. Hier solltest Du Dir mal die Mühe machen und anhand der Webserverlogs prüfen welches Ziel von den Zugreifern so begehrt wird. Da wirst Du sicherlich eine Schwachstelle finden.

 

[rosenwelt]

Das sehe ich ähnlich.
- Wer greift in "massen" darauf zu ?
(Bot-Net's, Web-Scanner, Hacker-Netzwerke, ... usw)
- Worauf wird versucht in massen zuzugreifen? (cgi verzeichnis, wordpress backend, php my admin, shell injections, XSS attempts, ... usw ...)
- Kann man bei den Zugriffen eine bestimmte Struktur erkennen, sodass man z.Bsp fail2ban regeln dagegen ausarbeiten und erstellen kann?

... ist die Seite für Grabber oder Hacker eigentlich interessant (Domainname / Inhalte)?

 

[Joe User]

Trotzdem ist mein Protokoll weiter komplett zugemüllt von diesen externen Zugriffen auf die Domain.

Sieben Zugriffe in einer Stunde nennst Du zugemüllt? Das fällt noch nicht mal ins Grundrauschen, so wenig ist das...

Mal zum Vergleich:
Die letzten vier "Attacken" auf einen meiner Server fanden 2016 statt und sahen so aus, bevor mein Anbieter und ich uns entschieden haben, die Leitung mal kurz für jeweils 15 Minuten zu nullrouten, um die "Attacken" zu beenden beziehungsweise auf Grundrauschniveau zu drosseln:

Sum   7,516 GByte/300s (205 MBit/s),  201.761.000 packets/300s (672.536 packets/s), 200.514 flows/300s (668 flows/s)
Sum  60,473 GByte/300s (1.651 MBit/s), 45.830.000 packets/300s (152.766 packets/s),  45.512 flows/300s (151 flows/s)
Sum  74,730 GByte/300s (2.040 MBit/s), 56.221.000 packets/300s (187.403 packets/s),  56.197 flows/300s (187 flows/s)
Sum 126,368 GByte/300s (3.450 MBit/s), 95.446.000 packets/300s (318.153 packets/s),  95.014 flows/300s (316 flows/s)

Keine dieser "Attacken" hat den Server selbst lahmgelegt (FreeBSD und echtem Blech sei Dank), lediglich die zu dem Zeitpunkt noch verbaute 100MBit-Leitung war zeitweilig voll.
Heutzutage würden diese vier schon fast ins Grundrauschen fallen...

 

[MadMakz]

Von Hack sind wir hier weit entfernt. Laut den paar Loglines machen Nginx & Apache genau das was sie sollen.

Die 401 Resultieren wahrscheinlich durch das Passwort.

Was Wordpress angeht, so hat WP-Cerber mir auf meiner installation immer gute Dienste geleistet.

 

[GwenDragon]

@onastras Auch bei Wordpress muss man als Admin informiert bleiben, Plugins können Lücken haben, verpasste Updates reißen Lücken auf.
https://www.wordfence.com/blog/ & RSS-Feed von https://www.wordfence.com/feed/ ist interessant.

 

[onastras]

Danke für eure Unterstützung. Das Problem wurde gelöst und meine Website ist wieder freigeschaltet.

 

[sbr2d2]

Danke für eure Unterstützung. Das Problem wurde gelöst und meine Website ist wieder freigeschaltet.

Und was war es gewesen? Für folgende User wäre es super wenn das Problem erklärt wird. Das hilft dann vielleicht weiteren Usern ohne ein Thema aufmachen zu müssen.