Schadsoftware entdeckt

  • mananeko

    (@mananeko)


    vor 2 Jahren, 10 Monaten

    Hallo zusammen,

    ich hoffe mir kann irgendwer helfen. Ich habe von meinem Host eine Mail erhalten, dass sich eine Schafsoftware bei mir eingenistet hat und mein Host aus dem Grund schon gewisse Funktionen eingeschränkt hat und die einzige Lösung wäre die komplett Seite zu löschen und neu aufzusetzen. In Zeiten von Virenscannern frage ich mich wieso dies die einzige Lösung sein soll? Es muss doch eine Möglichkeit geben diese Schadsoftware anderweitig zu entfernen!?

    Folgender Auszug aus der Mail:

    ______

    Folgende Scripte sind betroffen:
- web1516/html/wordpress/wp-content/plugins/google-analytics-for-wordpress/includes/gutenberg/headline-tool/phpinsight/lib/PHPInsight/data/a.pos.php (identifizierter Schädling: PHP.EVAL.CRYPT)

Zu unserem und Ihrem eigenen Schutz haben wir die Rechte der betroffenen Dateien auf 200 (nicht ausführbar) gesetzt, und es wurde die PHP Funktion sendmail auf Ihrem Account deaktiviert. Somit können darüber keine E-Mails von Ihrer Software aus versendet werden. Ihre normalen Postfächer und E-Mail Adressen sind davon nicht betroffen.

Was ist zu tun?

Ihre Software ist durch Dritte kompromittiert worden. Wenn die Angreifer Schadcode in eine Datei einschleusen konnten, genügt es nicht, diese nur zu löschen. Damit sich der Vorfall nicht wiederholt, muss die Ursache gefunden und durch Sie bzw. Ihren Webmaster beseitigt werden. Wir empfehlen, die aktuelle Webseite komplett zu löschen und neu aufzubauen. Bezüglich der Aktivierung der PHP Funktion sendmail melden Sie sich bitte, nach Abschluss Ihrer Arbeiten, über unser Supportsystem.

    ______

    Da ich zunächst dachte, dass es sich bei dieser Mail um Phishing handelt, weil ich mit einer falschen Ansprache angeschrieben wurde, habe ich zunächst nicht reagiert, Nun habe ich aber bereits die zweite Mal nach zwei Wochen erhalten und habe daraufhin Alfahosting angeschrieben und die Mail ist tatsächlich echt und somit auch das Problem. Da ich lediglich die Back-Ups von Alfahosting verwende und diese aber maximal eine Woche zurückgehen kann ich diese ebenfalls nicht verwenden.

    Hat irgwer ne andere Lösung? Ich habe keine Möglichkeit und auch keine Zeit die komplette Seite neu aufzusetzen da diese bereits 20 Jahre alt ist.

    Liebe Grüße
    Stefanie

    Hinweis Moderation:
    Link zur Website aus Gründen der Sicherheit entfernt

Ansicht von 1 Antwort (von insgesamt 1)
  • Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    vor 2 Jahren, 10 Monaten

    Im Plugin MonsterInsights – Google Analytics Dashboard for WordPress (Website Stats Made Easy) gibt es zwar ein Verzeichnis google-analytics-for-wordpress/includes/gutenberg/headline-tool/phpinsight/lib/PHPInsight/data/ aber in dem Verzeichnis gibt es eigentlich keine Datei a.pos.php. Um die Datei beurteilen zu können, müsste ich den Inhalt der Datei sehen, aber da die Datei nicht Bestandteil des Plugins ist, ist es gut möglich, dass es sich um Malware handelt, die einfach geschickt versteckt wurde – nicht unüblich.

    Die Reaktion des Webhosters ist völlig korrekt und ebenfalls üblich. Der Webhoster möchte schließlich nicht, dass sein Webserver als Teil eines Botnetz oder Filesharing-Plattform missbraucht wird.

    Die Maßnahmen, die bei einer gehackten Website ergriffen werden sollten, haben wir in unserer FAQ beschrieben; bitte lies da nochmal nach. Sehr verkürzt ausgedrückt solltest du

    • entweder (was am einfachsten ist) ein unkompromittiertes Backup wiederherstellen (oder, wenn du selber keine Backups gemacht hast, vom Webhoster wiederherstellen lassen – die haben meistens selber ein Backup), ein Update von Core, Themes und Plugins durchführen, die Zugangsdaten für WordPress, MySQL-Datenbank und Kundenmenü des Webhosters ändern
    • oder alle Dateien des WordPress-Core, Themes und Plugins gegen neu aus dem WordPress-Repository heruntergeladene Dateien tauschen und die selbst hochgeladenen Inhalte (insbesondere Mediendateien) sorgfältig untersuchen, dann ebenfalls die Zugangsdaren ändern.

    Der Vorschlag, „die aktuelle Webseite komplett zu löschen und neu aufzubauen“ ist etwas radikal, aber nicht so abwegig, weil Angreifer gerne Hintertürchen („Backdoors“) einbauen, um nach einer langwierigen Säuberung der Website wieder Zugriff auf den Webserver zu erlangen. Meist versteckt sich das (wie in deinem Fall) in einer harmlos klingenden Datei, die an verschiedenen Stellen untergebracht wird. Löschst du nur eine Datei, war die Mühe umsonst und du fängst wieder von vorne an, sobald der Angreifer von der Backdoor Gebrauch gemacht hat.

    Die vollständige Reinigung der Website ist durchaus möglich, sollte aber wegen der genannten Schwierigkeiten bevorzugt von jemand ausgeführt werden, der schon länger mit WordPress arbeitet und mit solchen Dingen Erfahrungen hat.

Ansicht von 1 Antwort (von insgesamt 1)
  • Das Thema „Schadsoftware entdeckt“ ist für neue Antworten geschlossen.