• Hallo zusammen

    Ich melde mich mal wieder mit einer etwas unschönen Tatsache. Seit einigen Tagen scheint meine Webseite infiziert zu sein, dies teilte mir mein Hoster mit. Für die entstandenen Umstände und die Verschiebung der Webseite in die Quarantäne verlangt mein Hoster umgerechnet 30 Euro.

    Jetzt liegt es an mir, die fehlerhaften Dateien zu bereinigen und das Sicherheitsproblem (Plugin?) zu identifizieren. Alternativ kann das auch mein Hoster für mich erledigen, das ist mir als Privatbetreiber der Webseite für 150-200 Euro die Stunde allerdings viel zu teuer.

    Der Helpdesk meines Hosters hat mich darauf hingewiesen, dass u.a folgende Dateien betroffen sind:

    Infizierte Dateien:
    ——————-

    ‚PHP/WebShell-W‘ in /var/www/vhosts/heimkinofreunde.com/httpdocs_orig/wp-content/uploads/odxqxzmj.php

    ‚PHP/WebShell-W‘ in /var/www/vhosts/heimkinofreunde.com/httpdocs_orig/wp-includes/js/jquery/lremlcch.php

    ‚PHP/WebShell-W‘ in /var/www/vhosts/heimkinofreunde.com/httpdocs_orig/wp-includes/js/tinymce/skins/ubmwvltt.php

    Ausserdem teilte mir der Support mit, dass auch folgende Dateien betroffen sind:

    „Ich kann Ihnen beispielsweise die Datei „9uw8ge227p.php“ nennen, die sich direkt im httpdocs_orig befindet.
    Und auch die index.php, ebenfalls im httpdocs_orig scheint infiziert zu sein.
    Ob das nun die einzigen beiden Files sind, kann ich Ihnen nicht sagen, denn dazu müsste ich Sie wie bereits erwähnt, an die spezialisierte Abteilung weiterleiten, was dann aber etwas kosten würde.“

    Ich bin nun etwas überfragt, wie ich weiter vorgehen kann / soll / muss?

    Kann mir jemand ein Tipp geben, wie ich damit beginnen kann, den Fehler / die Sicherheitslücke einzugrenzen?

    P.S: Meine Plugins als auch meine WordPress Version waren zum Zeitpunkt der Infiltrierung auf dem neuesten Stand. Ob davon ein Plugin veraltet ist und nicht mehr weiterentwickelt wurde, weiss ich momentan nicht.

    Besten Dank für eine Rückmeldung und freundlichen Gruss
    Nicolas Zuber

    • Dieses Thema wurde geändert vor 6 Jahren, 3 Monaten von zigginuber.
    • Dieses Thema wurde geändert vor 6 Jahren, 3 Monaten von zigginuber.
Ansicht von 2 Antworten – 1 bis 2 (von insgesamt 2)
  • Hallo Nicolas,

    gehackte Websites sind immer ärgerlich … und teuer bzw. mit viel Aufwand verbunden. Wie der Angriff zustande kommt, könnte höchstens mit Hilfe der Server-Logs aufwendig rekonstruiert werden, ist aber für den Moment wahrscheinlich auch unerheblich.

    Um die Website wieder ans Laufen zu bekommen, musst du (Achtung: Kurzfassung!) per FTP das Verzeichnis wp-content, deine wp-config.php und die htaccess lokal sichern und eine Liste der verwendeten Plugins und Themes erstellen (prüfen: sind das alles Plugins und Themes, die du selbst hinzugefügt hast?). Ist das erledigt, fängst du damit an, alle Zugangsdaten zu ändern: Kundenmenü des Webhoster, FTP-, und MySQL-Passwörter. Dann löschst du alle Dateien im Web-Stammverzeichnis, lädst WordPress-Core, Themes und Plugins (selbstverständlich nur aus sicheren Quellen) frisch herunter und lädst die unkompromittierten Dateien wieder auf deinen Webserver hoch.

    Wie du bereits gesehen hast, stecken einige Malware-Skripte im Verzeichnis wp-content. Angreifer hinterlassen hier gerne Backdoors, weil es für Anwender besonders schwierig ist, eigene und fremde Dateien zu unterscheiden. Selbst vermeintliche Bild-Dateien (mit Dateiendung .jpg oder .png) können tatsächlich getarnte Malware-Scripte sein, die mit einer Änderung in der .htaccess als PHP-Dateien ausgeführt werden (vgl. Exploiting a PHP server with a .jpg file upload). Es bleibt dir also nichts übrig, als bei jeder (!) Datei einzeln zu prüfen, ob sie

    1. dort hingehört (JavaScript- und PHP-Dateien gehören nicht in den Uploads-Ordner)
    2. sich hinter einer jpg- oder png-Datei in Wirklichkeit ein Skript verbirgt

    Im Blog von WordFence wird empfohlen, per grep nach base64 zu suchen, weil Angreifer ihren Code gerne damit verschlüsseln. Außerdem schlagen sie folgenden Befehl vor, um nach Inhalten zu suchen, die zu Punkt a) passen:
    find /wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

    Erst nach einer vollständigen Prüfung kannst du dann wp-content/uploads wieder hochladen.

    Die Datenbank solltest du vorsichtshalber nach JavaScript und iframes dursuchen. Außerdem solltest du prüfen, ob neue Benutzer in der Tabelle wp_users angelegt wurden. Wir wollen ja nicht, dass sich der Angreifer beliebig per Login als Administrator anmelden kann.

    Du solltest die Website nun wieder in Betrieb nehmen können. Als erstes kannst du dann alle Zugangsdaten der WordPress-Profile ändern. Die Plugins und Themes sollten, da frisch heruntergeladen, auf dem neuesten Stand sein. Die Sprachpakete („Übersetzungen“) werden bei der nächsten Aktualisierung nachträglich installiert.

    Sofern noch nicht geschehen, solltest du deine Website auf https umstellen. Immer mehr Webhoster erlauben die Einbindung kostenloser SSL-Zertifikate von Let’s Encrypt, die für die gesicherte Übertragung deiner Anmeldedaten beim Login völlig ausreichen.

    Eine schrittweise Anleitung habe ich schon mal früher hier im Forum geschrieben und auf meiner eigenen Website gesichert:
    https://pixolin.de/gehackte-website-reparieren/

    Wenn dir das alles zu aufwändig ist oder du dich mit deinem technischen Wissen überfordert fühlst, findest du im Web unter Suchbegriffen wie WordPress Sicherheitsüberprüfung auch Dienstleister, die zu einem fairen Preis die Reparatur ausführen. Du hast bereits gesehen, dass das recht aufwendig ist; erwarte also nicht, dass das jemand „mal eben für’n fuffi“ macht.

    Thread-Starter zigginuber

    (@zigginuber)

    Sorry für die verspätete Antwort!

    Vielen lieben Dank für deine sehr ausführliche Schilderung des Recovery Ablaufs.
    Ich werde die Webseite wohl noch einmal von Grund auf neu Aufsetzen, ich hab ja noch das alte Back-Up mit allen Blogbeiträgen ect. Zudem beschäftige ich mich ja gerne in meiner Freizeit mit der WordPress Installation und Konfiguration. 🙂

    Plugins reduziere ich diesmal auf das nötigste und dann mal sehen wie lange es gut geht 🙂

    Die andere Variante überschreitet meine Kenntnisse dann leider an der ein oder anderen Stelle (bspw. den Schadcode effizient in den einzelnen Files identifizieren) und eine Überprüfung durch Dritte ist finanziell einfach nicht drin.

    • Diese Antwort wurde geändert vor 6 Jahren, 2 Monaten von zigginuber.
Ansicht von 2 Antworten – 1 bis 2 (von insgesamt 2)
  • Das Thema „Webseite infiziert – Sicherheitsproblem“ ist für neue Antworten geschlossen.