Es wird behauptet, man hätte die Website der angeschriebenen Person gehackt, nachdem eine Sicherheitslücke gefunden worden sei. Im Anschluss, so die Täter, hätte man u.a. Datenbanken extrahiert und auf einen „Offshore-Server“ verschoben. Weiters werde man nun den Ruf der angeschriebenen Firma systematisch zerstören, wenn nicht ein gewisser Betrag (z.B. 3000 USD) in Bitcoins überwiesen werde.

So fängt dieses E-Mail an:

Nachricht: Bitte leiten Sie diese E-Mail an jemanden in Ihrem Unternehmen weiter, der wichtige Entscheidungen treffen darf!

Wir haben Ihre Website http://www……. gehackt und Ihre Datenbanken extrahiert.

Wie ist es passiert?
Unser Team hat auf Ihrer Website eine Sicherheitslücke gefunden, die wir ausnutzen konnten. Nachdem wir die Sicherheitsanfälligkeit festgestellt hatten, konnten wir Ihre Datenbankanmeldeinformationen abrufen, Ihre gesamte Datenbank extrahieren und die Informationen auf einen Offshore-Server verschieben.

Was bedeutet das?

Wir werden systematisch eine Reihe von Schritten durchlaufen, um Ihren Ruf vollständig zu schädigen. Zuerst wird Ihre Datenbank durchgesickert oder an den Höchstbietenden verkauft, den er mit seinen Absichten verwendet. Wenn E-Mails gefunden werden, werden sie per E-Mail darüber informiert, dass ihre Informationen verkauft oder durchgesickert sind und Ihre Website http: //www…… einen Fehler begangen hat, wodurch Ihr Ruf geschädigt und verärgerte Kunden / Mitarbeiter mit allen verärgerten Personen konfrontiert wurden Kunden / Mitarbeiter tun. Schließlich werden alle Links, die Sie in den Suchmaschinen indiziert haben, basierend auf Blackhat-Techniken, die wir in der Vergangenheit verwendet haben, um unsere Ziele zu deindizieren, deindiziert.

Wie höre ich damit auf?

Wir sind bereit, den Ruf Ihrer Website gegen eine geringe Gebühr nicht zu zerstören. Die aktuelle Gebühr beträgt .322 BTC in Bitcoins (3000 USD).
…
Bitte beachten Sie, dass Sie die Zahlung innerhalb von 5 Tagen nach Erhalt dieser Mitteilung leisten müssen, da sonst das Datenbankleck, die versendeten E-Mails und die De-Indexierung Ihrer Website beginnen!

Was soll man tun?

Dieses Mail ist Spam, Sie können es einfach löschen oder in den Spam Ordner verschieben und sollten nicht darauf reagieren.

Es lässt sich leider nicht verhindern, Spam Mails zu bekommen. Wenn Sie dieses oder ähnliche Mails in den Spam-Ordner Ihres E-Mail Programms verschieben, „lernt“ Ihr E-Mail Programm, die Spam Nachrichten mit der Zeit besser herauszufiltern.

Weitere Infos zum aktuellen Mail:

• polizei-praevention.de/aktuelles/epressermail-an-webseitenbetreiber.html

Der Beitrag Phishing Mail: Ihre Site wurde gehackt, zahle 3000 USD / .322 BTC in Bitcoins erschien zuerst auf Websicherheit Malware Entfernen.

In diesem Artikel wird untersucht, wie diese Umleitung erfolgt und welche Abweichungen möglich sind. Da die Weiterleitungen nicht immer bei jedem Besuch auftreten (und häufig absichtlich vor Administratoren verborgen sind!), bleibt diese Art von Hack möglicherweise lange Zeit unentdeckt.

Eines ist sicher:
Es müssen dringend Abhilfe-Maßnahmen ergriffen werden, damit

• keine Besucher auf der eigenen Website verloren gehen und
• Ihre Kunden nicht angegriffen werden.

Wenn Sie keine Zeit verlieren möchten, kontaktieren Sie mich einfach für sofortige Hilfe.

Domainnamen, die aktiv in WordPress-Weiterleitungen verwendet werden

stat.trackstatisticsss.com

sferverification.com

poponclick.info

train.developfirstline.com

letsmakeparty3.ga

beforwardplay.com

belaterbewasthere.com

waterflowpick24.live

2.8mono.biz

dontstopthismusics.com

lobbydesires.com

blackentertainments.com

fox.trackstatisticsss.com

graizoah.com

asoulrox.com

ofgogoatan.com

stivenfernando.com

fast.destinyfernandi.com

check.resolutiondestin.com

dest.collectfasttracks.com

digestcolect.com

verybeatifulantony.com

gotosecond2.com

forwardmytraffic.com

crazytds.club

WordPress-Spam-Weiterleitungen – Verstecke für die Malware

Grundsätzlich können automatische Weiterleitungen in jede vom WordPress-System geladene Datei eingefügt werden.
Darüber hinaus gibt es auch häufige Skriptinjektionen direkt in die Datenbank.
Es gibt verschiedene Verstecke für Spam-Weiterleitungen, die ich in den letzten Monaten gesehen habe:

• Javascript-Injektionen in PHP-Dateien (insbesondere in Theme- und Plugin-Dateien)
• Javascript-Dateien, die am Anfang aller JS-Dateien auf dem Server eingefügt werden
• Skriptinjektionen in Seiten und Artikeln (wp-posts-Datenbanktabelle)
• Die URL der Website (wie in der Datenbanktabelle wp-options festgelegt) wurde in die Hacker-Domain geändert
• Geänderte .htaccess-Dateien (häufig in vielen Ordnern)
• Über Werbenetzwerke (gehackte Ad-Server)

Zusätzlich zu den Spam-Weiterleitungen werden immer mehrere Backdoors hinzugefügt, und häufig werden mehrere Administratorbenutzer zu WordPress hinzugefügt, um den Hackern den vollen Zugriff zu ermöglichen, selbst wenn die anfälligen Plugins gepatcht wurden.

Liste anfälliger Plugins

Die überwiegende Mehrheit dieser Angriffe zielt auf Sicherheitslücken ab, die vor Monaten oder sogar Jahren behoben wurden. Wenn Sie eines dieser Plugins auf Ihrer Website installiert haben, stellen Sie sicher, dass Sie das neueste sichere Update verwenden!

• Duplicator
• Page Builder by SiteOrigin
• ThemeGrill Demo Importer
• Profile Builder
• WP GDPR Compliance
• Coming Soon and Maintenance Mode

Wie vermeide ich diese Probleme?

Wie bei den meisten WordPress-Angriffen besteht die Lösung darin, alle Plugins und den WordPress-Kern regelmäßig zu aktualisieren. Stellen Sie außerdem sicher, dass Sie nicht benötigte Plugins entfernen (und nicht nur deaktivieren).

So stellen Sie Ihre Website wieder her, wenn Sie infiziert wurde

Es gibt 2 Möglichkeiten, eine infizierte Website wiederherzustellen: mit einem Backup oder durch Entfernen aller Malware und Backdoors, durch die Hacker sonst immer wieder zurück kommen.

• Variante 1: Backup einspielen

Da diese Angriffe im Allgemeinen 100 oder sogar 1000 Dateien sowie die Datenbank infizieren, besteht die beste Wiederherstellungsmethode darin, das gesamte WordPress-Verzeichnis zu löschen (stellen Sie sicher, dass Ihre Sicherung in Ordnung ist, bevor Sie dies tun !!) und von einer sauberen Sicherung neu zu installieren. Stellen Sie dann auch Ihre Datenbank aus einer sauberen Sicherung wieder her.

• Variante 2: Entfernen aller Malware und Backdoors

Wenn dies nicht möglich ist, wenden Sie sich an einen Fachmann. Eigenständige Versuche sind wesentlich zeitintensiver und scheitern oft daran, dass man nicht alle aktuellen Tricks der Hacker kennt und nicht alle Backdoors findet.  Mit den richtigen Tools und Kenntnissen kann die Bereinigung in 2 – 3 Stunden abgeschlossen und Ihre Website wieder online gestellt werden!

Ich kann Ihre Website innerhalb weniger Stunden für nur € 99 (+ Mwst) sauber, sicher und wieder online haben – kontaktieren Sie mich jetzt für sofortige Hilfe!

Der Beitrag WordPress gehackt mit Umleitung erschien zuerst auf Websicherheit Malware Entfernen.

Erstens – eine schlechte Nachricht: Jedes Jahr werden Hunderttausende von WordPress-Sites gehackt! Eine sichere WordPress Website zu haben, muss aber keine grosse Herausforderung sein.

Schritt 1: WordPress-Updates sofort Installieren

Es ist wichtig, mit den neuesten WordPress-Updates auf dem Laufenden zu bleiben. Stellen Sie sicher, dass Ihre WordPress Website auf der neuesten WordPress Version ausgeführt wird.

Schritt 2: Plugins regelmässig aktualisieren

Es ist sehr wichtig alle Plugins regelmässig zu aktualisieren und inaktive Plugins zu deinstallieren. In einer Umfrage von Wordfence wurden 60% der bekannten Hacking Attacken über Plugin- oder Theme-Schwachstellen ausgeführt.

Image Source: Wordfence

Die Sicherheitslücken in diesen Plugins wurden aber bereits vor langer Zeit behoben. Die Website-Eigentümer haben die Plugins nur nicht aktualisiert, und so ihre Website nicht geschützt.

Schritt 3: Sichere Passwörter verwenden!

Sichere Passwörter verwenden! Verwenden Sie auch keine offensichtlichen Benutzernamen – besonders nicht „admin“ und „administrator“. Dies sind die häufigsten Benutzernamen, die bei Brute-Force-Angriffen von Hackern versucht werden. Sehr empfehlenswert ist ein Plugin, das die Anzahl der möglichen Login-Versuche begrenzt.

Schritt 4: Regelmässig Backups machen

Ein Backup ist sehr wichtig, um einem Datenverlust vorzubeugen. Wenn sie regelmäßig ein Backup erstellen, werden alle wichtigen Daten Ihres Websites an einem anderen sicheren Ort gespeichert.

Schritt 5: Löschen Sie alle nicht gebrauchte Daten

Löschen Sie alle alten Daten, die Sie nicht benötigen, von Ihrer Website. Dies umfasst nicht benötigte Sicherungsdateien, Protokolldateien, Anwendungen, die Sie nicht verwenden (z.b.: phpMyAdmin und Adminer), oder andere Elemente, die Sie auf Ihrer Website nicht benötigen. Auch alte Test Stände (sub-domains, development und staging websites) sollten aktualisiert oder entfernt werden.  Alte Daten sind ein zusätzlicher möglicher Angriffspunkt, der geschützt werden muss. Wenn Sie sie entfernen können, verringern Sie das Risiko.

Mit diesen Tipps sind Sie sehr gut, aber auch nicht 100% geschützt.  Sollte das Schlimmste doch passieren, können wir Ihre Website schnell bereinigen, herausfinden wie sie gehackt wurde und helfen, sie gegen zukünftige Attacken zu schützen.

Der Beitrag 5 Wege, ihre WordPress-Sicherheit zu verbessern erschien zuerst auf Websicherheit Malware Entfernen.

Diese Sicherheitslücke ist als hochkritisch eingestuft (24 auf Skala bis 25) – ein Sicherheitsupdate steht schon bereit (auch für nicht mehr unterstützte v8.3 und v8.4 gibt es einen Patch).  Auch Drupal 6 und 8.2.x sind bedroht. Wer eine dieser veralteten Versionen einsetzt, muss auf eine aktuelle Version updaten, raten die Entwickler.

Update: 12. April
Laut einer Meldung des Drupal-Projekts laufen bereits (automatisierte) Angriffsversuche gegen anfällige Drupal-Installationen. Seiten, die nicht gepatcht wurden, können schon kompromittiert sein.

Schon gehackt?

Falls ihr schon gehackt geworden sein, können wir sofort helfen um alle Malware und Backdoors zu entfernen.

Einfach anrufen oder Mail schreiben!

Nähere Infos:

CERT.AT Warnung

Der Beitrag Kritische Zero-Day-Lücke in Drupal erschien zuerst auf Websicherheit Malware Entfernen.

[CVE-2016-8870] – Core – Benutzer anlegen: Angreifer können diese Sicherheitsanfälligkeit ausnutzen, um neue Benutzer in einem Joomla-System zu erstellen, unabhängig davon, ob die Registrierung aktiviert wurde oder nicht.

[CVE-2016-8869] – Core – Erhöhte Privilegien: Mit der oben genannten Sicherheitsanfälligkeit kann ein Angreifer nicht nur ein Konto in einem anfälligen System registrieren, sondern auch als Administrator registrieren.

Betroffen sind alle Joomla Webseiten von v3.4.4 bis v3.6.3

Jede Joomla! Website, die noch nicht aktualisiert wurde, ist wahrscheinlich bereits kompromittiert.

So erkennen Sie, ob Ihre Joomla-Homepage bereits aufgrund dieser Sicherheitslücke gehackt wurde

• Es gibt einen oder mehrere unbekannte Admin-User

Was kann man tun, wenn unbekannte Admin-User vorhanden sind

• Die gesamte Joomla Installation auf Malware und Backdoors kontrollieren UND
• den User löschen UND
• updaten auf die neueste Joomla Version

Nur den User löschen und updaten, ist ziemlich sicher zu wenig, da die Hacker mit dem neuen User meist auch gleich Backdoors platzieren, über die sie später auch auf anderem Weg Malware auf Ihrer Website platzieren können.

Wenn Sie Hilfe benötigen: Kontaktieren Sie mich!

Nähere Informationen:

Joomla! 3.6.4 Released

Sucuri: Joomla Exploits in the Wild Against CVE-2016-8870 and CVE-2016-8869

Der Beitrag Joomla! Zwei kritische Fehler entdeckt – Webseiten wurden schon gehackt erschien zuerst auf Websicherheit Malware Entfernen.