Support » Allgemeine Fragen » Malware Java Script aus Quellcode entfernen

  • Gelöst crash007

    (@crash007)


    Hallo Leute,
    ich habe die Ursachen gefunden aus meinem letzten Post.
    Habe aber neuen Post begonnen, weil das Thema ein anderes ist.
    Ich habe mehrere Malware Scripts auf 3 Webseiten, die die Tür aufmachen.
    Die haben mir auch Bilddateien verseucht. Habe dies alles aus der Datenbank entfernen können. aber ein Problem existiert noch…
    Meine Frage nun, wie komme ich an das Script: script src=’https://https://port………… im Quellcode der einzelnen Seiten heran? Wo finde ich Daten zum Quellcode z. B. Impressum, Datenschutz usw. , den ich entsprechend editieren kann um die Codes zu entfernen? Ich meine jetzt nicht den „Visuellen- oder Texteditor“
    Ich bitte noch mal um ein Feedback.
    VG Markus

    • Dieses Thema wurde geändert vor 3 Jahren, 2 Monaten von crash007.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)
  • … Malware Scripts auf 3 Webseiten, die die Tür aufmachen.
    Die haben mir auch Bilddateien verseucht. …

    Angreifer hinterlassen häufig an verschiedenen Stellen so genannte Backdoors, also die Möglichkeit „durch eine Hintertür“ wieder in den Server zu gelangen, ohne einen neuen Angriff ausführen zu müssen. Scripte werden gerne im Upload-Folder versteckt, weil sich Themes und Plugins mit wenigen Mausklicks durch eine frisch vom WordPres-Verzeichnis heruntergeladene Fassung ersetzen lassen, ein Durchsuchen des Upload-Folders aber mühsamer ist.

    Scripte werden häufig verschlüsselt abgelegt, um auch die direkte Suche zu erschweren. Das Plugin AntiVirus durchsucht Themes und Plugins nach solchem verschlüsseltem Code. Ansonsten hilft, alle Dateien in ein Verzeichnis auf dem eigenen Computer zu übertragen und dann mit grep nach verschiedenen Codefragmenten zu suchen.

    Einige gute Ratschläge zur Suche in malware-infizierten Websites findest du in diesem Beitrag: How to Clean a Hacked WordPress Site using Wordfence

    Für das Verzeichnis wp-content/uploads ist auch eine eigene .htaccess sinnvoll, mit der du die Ausführung von PHP-Dateien und den Aufruf von Text- und Markdown-Dateien unterbindest:

    <FilesMatch “\.(php|txt|md)$”> 
    Order Allow,Deny 
    Deny from all 
    </FilesMatch>
    Thread-Starter crash007

    (@crash007)

    Danke für Dein Feedback.
    Wenn ich Dich richtig verstanden habe, weil Du nicht darauf eingegangen bist, habe ich keine Möglichkeit, an den Quelltext der einzelnen Seiten heranzukommen!?
    Ich hatte die Seite bereits mit Wordfence gescant. Vielleicht hätte ich dies formulieren sollen?
    Jetzt steht nur noch das Script in den 3 Seiten im Raum, lt. Wordfence. Das muss ich wohl manuell entfernen…löschen.

    Wieso bin ich „nicht darauf eingegangen“?

    Scripte werden häufig verschlüsselt abgelegt, um auch die direkte Suche zu erschweren. Das Plugin AntiVirus durchsucht Themes und Plugins nach solchem verschlüsseltem Code. Ansonsten hilft, alle Dateien in ein Verzeichnis auf dem eigenen Computer zu übertragen und dann mit grep nach verschiedenen Codefragmenten zu suchen.

    @pixolin

    Ansonsten hilft, alle Dateien in ein Verzeichnis auf dem eigenen Computer zu übertragen und dann mit grep nach verschiedenen Codefragmenten zu suchen.

    Mit Filezilla kannst du auch Dateien auf dem Server durchsuchen, ohne diese erst auf den eigenen Rechner ziehen zu müssen.

    • Diese Antwort wurde geändert vor 3 Jahren, 2 Monaten von bscu.

    @bscu Oh, OK. Danke für den Hinweis. Mit dem FTP-Client, mit dem ich sonst arbeite, scheint das nicht zu gehen – da kann ich anscheinend nur nach Dateien suchen, aber nicht in Dateien suchen.

    @pixolin
    Sorry, muss meine Aussage zurückziehen, Dateien suchen ja, Grep auf Dateien leider doch nicht.

    Hätte mich auch gewundert, weil das dann wohl sehr aufwändig wäre.
    Aber gut, dass wir das geklärt haben.

    Also … entweder per SSH auf den Server zugreifen und dort per grep suchen oder lokal kopieren und dann in den Dateien per grep oder mit einem geeigneten Code-Editor (z.B. mit VS Code) dateiübergreifend suchen.

    Aber mit WinSCP geht es:

    1. Connect zum Server
    2. Verzeichnis auswählen
    3. Commands/Open Terminal im Menu auswählen
    4. grep-Befehl eingeben

    🙂

    Thread-Starter crash007

    (@crash007)

    Hallo Leute,
    ich habe das Ganze soweit im Griff. Sorry dafür, dass ich mich technisch nicht ganz so ausdrücken kann wie ihr.
    Noch mal kurz zu Hintergründen. Das script wurde bereits im Mai 2019 eingeschleust und hat Bilder/Medien in den Uploads angegegriffen. Hat hier ein Script in den Beschreibungen eingebaut. Meistens bei denen, die nicht verwendet wurden.
    Habe alle Bilddateien gelöscht. Hatt wie bereits beschrieben, auch schon wordfence installiert. Die scripts in den 3 Seiten sind auch enfernt. Dieses (<script src=’https://https://%5Burl gelöscht]/js.php?s=q‘ type=’text/javascript‘></script>. Jetzt meldet mir wordfence Content Safety aber noch 2 Page contains a suspected malware URL: Immobilien Frankfurt
    Type: URL „Details: This page contains a URL that is currently listed on Wordfence’s domain blocklist. The URL is: http://[URL gelöscht]/js.php.
    Das Problem trat beii mir am 28.12.20 auf. Ich hatte Goggle nach „[URL gelöscht]“ befragt – da hatte ich 4 Treffer. Heute habe ich über 13600. Jeder Treffer führt zu einer infizierten Seite. Hier spielt auch das Plugin „WP_Sleeps“ eine Rolle, welches eingeschleust wurde. Bei einigen Seiten ist auch die Datenbank platt. Der Zeitpunkt für den Angriff war sicherlich sehr geschickt gewählt, wo viele nicht arbeiten. Mein Glück, im Unglück war vermutlich, dass ich gearbeitet hatte und rechtzeitig reagieren konnte. Habe die Seite jetzt dicht gemacht. Trotzdem habe ich noch das Problem mit der „Content Safety“ Meldung.
    Ich versuche dran zu bleiben. Vielleicht hat ja noch hier einer eine Idee? Ach…noch vergessen…laut antivirus ist die Seite clean.
    LG Markus


    Moderationshinweis: URL der Malware gelöscht.

    • Diese Antwort wurde geändert vor 3 Jahren, 2 Monaten von crash007.
    • Diese Antwort wurde geändert vor 3 Jahren, 2 Monaten von Bego Mario Garde. Grund: URL der Malware gelöscht
    Thread-Starter crash007

    (@crash007)

    Ergänzend will ich noch hinzufügen…es war der 30.12.20

    Die erte Meldung kam: installiert
    IP Address: 95.181.152.193
    Reverse IP: loft.com
    Date/Time: 30. December 2020 21:08
    User: fmt-immobilien (fmt-immobilien)
    Message: Media file added; ID: 2235; name: wp-sleeeps.zip; type:

    Die zweite Meldung kam: aktiviert
    IP Address: 95.181.152.193
    Reverse IP: loft.com
    Date/Time: 30. December 2020 21:08
    User: fmt-immobilien (fmt-immobilien)
    Message: Plugin activated: Wp Sleeeps (v1.5.3.2; wp-sleeeps/wp-sleeeps.php)

    • Diese Antwort wurde geändert vor 3 Jahren, 2 Monaten von crash007.

    Der Zeitpunkt für den Angriff war sicherlich sehr geschickt gewählt, wo viele nicht arbeiten.

    Da hast du falsche Vorstellungen, wie solche Angriffe ablaufen. Es ist nicht so, dass da ein Mensch mit Hoodie zwischen Pizza-Schachteln und Cola-Flaschen sitzt und sich überlegt, wann der Angriff auf deine Website wohl zeitlich am besten passt. Statt dessen crawlen Server ähnlich wie Suchmaschinen Webseiten und untersuchen sie mit automatisierten Skripten nach allen möglichen Schwachstellen, um dann Schadcode zu infizieren und so allen möglichen Schabernack (wahlweise auch kriminelle Handlungen) zu treiben.

    Außer auf regelmäßige Updates, Software aus sicheren Quellen, starke Passwörter, verschlüsselte Verbindungen und gesunden Menschenverstand hinzuweisen, kann man dagegen recht wenig tun. Die Maßnahmen zum „Hardening“ erschweren unter Umständen Angriffe (eine Zwei-Faktor-Authentifikation verhindert zum Beispiel einen Angriff, nachdem ein Passwort geleakt wurde), aber alles was in Richtung „Security by Obfuscation“ läuft (also Schutz durch Verschleierung) ist ohenhin wenig hilfreich. Dass das Entfernen von Malware mühsam und die Wiederherstellung nicht kompromittierter Backups effizienter ist, haben wir hier im Supportforum schon öfters diskutiert.

    Können wir dir sonst noch weiterhelfen? 🙂

    Thread-Starter crash007

    (@crash007)

    Ja, mein lieber, du hast in allen Belangen Recht. Man lernt daraus. 2-Faktor habe ich installiert. Man ist immer der Meinung, es trifft nur andere 🙂 Ich hätte letztes Jahr, als ich die Seite übernommen hatte, kpl. neu aufsetzen sollen. Es darf aber nichts kosten.

    Es ist nicht so, dass da ein Mensch mit Hoodie zwischen Pizza-Schachteln und Cola-Flaschen sitzt und sich überlegt, wann der Angriff auf deine Website wohl zeitlich am besten passt. Statt dessen crawlen Server ähnlich wie Suchmaschinen Webseiten und untersuchen sie mit automatisierten Skripten nach allen möglichen Schwachstellen, um dann Schadcode zu infizieren und so allen möglichen Schabernack (wahlweise auch kriminelle Handlungen) zu treiben.

    Auch das ist bekannt 🙂 Erstaunlich aber, dass es mittlerweile schon 17000 Treffer bei Google gibt. Vielleicht war doch einem langweilig, der Heiligabend den Knopf drückte :)).
    Danke für deine Mühe. Ich bleibe dran.
    Werde

    Aber mit WinSCP geht es:

    Connect zum Server
    Verzeichnis auswählen
    Commands/Open Terminal im Menu auswählen
    grep-Befehl eingeben

    testen.
    PS: Vielleicht hört man ja noch mehr über diese Domain!?
    So Long Markus

    Ja, so long and thank you for the fish. 🐬
    Ich markiere den Thread dann mal als „gelöst“.

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)
  • Das Thema „Malware Java Script aus Quellcode entfernen“ ist für neue Antworten geschlossen.