Managed Server bei Strato gehackt, alle Seiten betroffen
-
Hallo zusammen,
mein managed Server bei Strato wurde gehackt, alle meine Seiten/ Installationen sind betroffen, kann das jemand hier reparieren?
Ich habe bereits eine Wiederherstellung gemacht, aber nach kurzer Zeit war wieder der selbe Zustand da. Strato schrieb:
„nach Überprüfung konnten wir feststellen, dass der Fremdzugriff auf Ihren Server höchstwahrscheinlich durch veraltete Plugins oder Themes verursacht wurde.
Beispiele für verseuchte PHP-Dateien sind:
./salatoi_klutschik/wp-content/plugins/wordpress-seo/frontend/index.php
./isid-es/wp-content/themes/twentyfifteen/header.php
./sanfte-geburt/wp-content/plugins/fusion-builder/shortcodes/fusion-toggle.phpIn den verseuchten Dateien wurden kodierte Texte eingefügt die Ihre Seiten weiterleiten und den Tätern vermutlich jederzeit Zugriff erlauben.
Der Kollege hat mir einen Befehl auf den Weg mitgegeben, falls Sie oder Ihr Webmaster die Dateien händisch bereinigen möchten.
find . -name ‚*php‘ -group apache | xargs -I {} sh -c „echo {} ; LC_ALL=C LANG=C grep -E
‚base64|url_get_contents|eval\(|rot13|gzinflate|(.*\.){19,}|([^;]+;){9,}|.{444,}|perl\
|(.[xX][0-9a-fA-F]+){3,}‘ {}“Der Einzeiler (alles in eine Zeile) sucht nach php-Dateien, die via Webserver ihren Weg auf den Rechner gefunden haben oder via Webserver aktualisiert wurden, mit häufig in Schadcode genutzten Schlüsselwörtern, Hexcode, langen Zeilen, massiv zusammengesetzten Strings. Damit erwischt man nicht alles, aber vieles.
Überprüfen Sie bitte Ihre eigenen Backups ob in den genannten Dateien merkwürdige Kodierungen vorhanden sind. Sollte es nicht der Fall sein, wurden die Seiten zu dem Zeitpunkt noch nicht kompromittiert.“
Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]
- Das Thema „Managed Server bei Strato gehackt, alle Seiten betroffen“ ist für neue Antworten geschlossen.