Mahlzeit,

ich frage mich gerade, wie das passiert sein soll.

über eine Sicherheitslücke in Wordpress die auch nach dem letzten Update noch existiert.

Ein von außen erreichbarer VHost ist ja erstmal nichts tragisches, oder?

Wieso sollte das tragisch sein, das hat jeder Server doch auch

Welche Ports sind denn da offen?

Für Wordpress? Port 80

Ich habe -leider, leider- auch eine wordpress-Seite zu pflegen, und da würde mich das schon interessieren, wie das passieren kann. Mit welchem User wurde denn die crontab geändert?

Beileid. Im normalen Serverumfeld wird das ändern des Crontabs nicht passieren. Auf einem Server, der dauerhaft erreichbar ist, ist das abgesichert, ausser der Admin ist ein Stümper. Bei meinem Setup ist einiges anders, da idR von aussen nicht erreichbar.

Allerdings ist die Sicherheitslücke unabhängig vom Crontab. Das Mining erfolgt direkt nach dem Angriff, der Crontab greift nur, wenn die Prozesse abgeschossen werden und dafür muss es erstmal jemand merken ;)

Wordpress ist kacke. Allein für diese eine Seite muss ich gefühlt fast täglich Updates für die zahlreichen Plugins machen.

Und damit schliesst du eine Lücke und reisst 5 neue auf.