Website gehackt -> komische Dateien unter Plugins
-
Hallo,
eine Website wurde gehackt, zum Glück gab es eine Sicherung 🙂
Aber ich habe doch noch eine Frage. Im Verzeichnis ../Plugins fand ich komische Plugins z.B. marsh-recognize oder ewenojig.
Beispiel Plugin com_otg1mj Inhalt:
Moderatorenhinweis: Den Code habe ich aus Sicherheitsgründen gelöscht.
Ich habe keine Ahnung was das ist. Kann mit jemand helfen?
- Dieses Thema wurde geändert vor 1 Jahr, 1 Monat von Hans-Gerd Gerhards. Grund: Code gelöscht
- Dieses Thema wurde geändert vor 1 Jahr, 1 Monat von asyx.
-
Hallo,
dann gibt es vermutlich noch Sicherheitslücken. Du solltest dich in dem Fall an Dienstleister wenden, die das analysieren können.
Sicherheitshalber: Jobangebote sind hier im Forum ausdrücklich unerwünscht.Viele Grüße
Hans-GerdDas gleiche (oder ein ähnliches) Problem habe ich gerade gelöst.
Ich vermute, die Malware im plugin-Verzeichnis ist nicht die einzige; es ist nur die einzige, die Du entdeckt hast.
Ich bin so vorgegangen:
Ich habe den Ninjascanner (in der kostenlosen Version) alle Dateien scannen lassen. Er brach aber zunächst immer bei Step 13 ab. Das lag daran, dass auch die wp-admin und wp-includes infiziert waren. Also habe ich unter wp-includes/version.php erst einmal nachgeschaut, welche WP-Version ich gerade installiert hatte, dann habe ich mir die noch einmal frisch heruntergeladen, die infizierten Verzeichnisse umbenannt und dann frisch hochgeladen (nur wp-admin und wp-includes).
Dann funktionierte der Scan und zeigte mir alle infizierten und zusätzlichen Dateien an. Die zusätzlichen Dateien habe ich gelöscht und die infizierten bereinigt. Das war einfach, denn die Infektion bestand aus einem (gut kommentierten) include-Befehl, der sich ganz oben reingeschrieben hatte.
Dann noch mal scannen und seitdem habe ich Ruhe. Zuvor war es immer so, dass zu einer bestimmten Uhrzeit alles wieder befallen war. Das lag einfach daran, dass ich bei meinen Säuberungsaktionen nicht alles erwischt hatte.
Achtung: Schau auch mal nach, ob andere, evtl. Installationen in der Verzeichnisstruktur befallen sind. Bei mir waren es alle Subdomains einer bestimmten Domain, darunter sogar eine MediaWiki-Installation.
Hoffe, es hilft.
Das gleiche (oder ein ähnliches) Problem habe ich gerade gelöst.
Meine Bedenken dazu habe ich gerade in einer Antwort auf einen anderen Beitrag von dir ausgeführt.
Deshalb an dieser Stelle zusammengefasst: Eine infizierte Website zu scannen und nur als auffällig entdeckte Dateien zu patchen führt leicht dazu, dass Backdoors übersehen werden. Ich halte das nicht für eine „Lösung“ des Problems.
Das hier ist doch ein Forum, oder? Und kein Ticketsystem, oder? Ich bin in meinem Originalthread gefragt worden, was ich erwartet habe? Nun, ganz einfach: Dass ich hier auf einen Nutzer treffe, der die gleichen Probleme/Symptome hatte und mir sagen kann, was er getan hat, um das Problem zu lösen. So, wie ich es hier getan habe. Wenn nun der Theradstarter bestätigt, dass das, was ich geschrieben habe, zur Lösung seiner Probleme beigetragen hat, wären wir einen Schritt weiter.
Ich zum Beispiel erwarte in einem Forum nicht, dass sich Moderatoren bemüßigt fühlen, hier Supportarbeit zu leisten. Denn wie gesagt – das ist kein Ticketsystem, sondern ein Forum.
Ich betreibe seit 2003 eigene Webserver und befasse mich seit 2013 intensiv mit WordPress. Es soll nicht despektierlich klingen, aber ich brauche niemanden, der irgendetwas für mich erledigt, wie das ja scheinbar aufgefasst wurde.
Ich hatte den Thread gestartet, um mich mit Nutzern auszutauschen. Das funktioniert meiner Erfahrung nach wesentlich besser, als mit irgendeinem Support, egal ob kostenlos oder kostenpflichtig.
Andersherum empfinde ich es als despektierlich, wenn mir unterstellt wird, ich habe irgendwelche Sicherheitslücken offen gelassen. Wie gesagt – ich mache das schon eine ganze Zeit. Andererseits stehe ich aber aus Gründen, auf die ich hier nicht eingehen will, ganz besonders unter Beschuss.
Im Moment interessiert mich, wie die Malware überhaupt meine Sicherheitsbarrieren durchbrechen konnte. Wenn ich das herausgefunden habe, werde ich es hier auch gerne veröffentlichen, damit andere gewarnt sind. D.h. falls die Kommunikation nicht durch Sperren des Threads abgewürgt wird.
Das hier ist doch ein Forum, oder? Und kein Ticketsystem, oder?
Wieso die rhetorischen Fragen? Was passt dir nicht daran, dass jemand eine andere Meinung vertritt?
was ich erwartet habe? […] Dass ich hier auf einen Nutzer treffe, der die gleichen Probleme/Symptome hatte und mir sagen kann, was er getan hat, um das Problem zu lösen.
Genau das haben wir getan, sogar recht ausführlich. Leider bist du auf die Antworten nicht direkt eingegangen und hast dir wohl auch nicht die Mühe gemacht, die verlinkten Artikel zu lesen. Statt dessen kommt die Rückmeldung, „da nur allgemeine Informationen kamen, die nicht wirklich weiter halfen“ hättest du dir selber eine Lösung erarbeitet.
Ich zum Beispiel erwarte in einem Forum nicht, dass sich Moderatoren bemüßigt fühlen, hier Supportarbeit zu leisten.
Wir dürfen demnach nur moderieren, aber uns selbst nicht an Threads beteiligen? Ich fühle mich auch nicht „bemüßigt“, ich antworte einfach.
Andersherum empfinde ich es als despektierlich, wenn mir unterstellt wird, ich habe irgendwelche Sicherheitslücken offen gelassen.
Es ging nicht um deine Person, sondern die Vorgehensweise, die aus den ausführlich erläuterten Gründen fragwürdig ist. Ich kenne dich nicht, kann dein Fachwissen nicht beurteilen und habe dir auch nie irgendwas unterstellt.
D.h. falls die Kommunikation nicht durch Sperren des Threads abgewürgt wird.
Du hast deine Frage in einem moderierten Support-Forum gestellt. Wir behalten uns grundsätzlich vor, Beiträge im Rahmen der Moderation zu schließen oder sogar bei schweren Verstößen gegen die Forenregeln zu löschen. Bitte wende dich an ein anderes Forum, wenn du damit ein Problem hast.
Dass ich hier auf einen Nutzer treffe, der die gleichen Probleme/Symptome hatte und mir sagen kann, was er getan hat, um das Problem zu lösen.
Bei deiner, wie du schreibst, langjährigen Erfahrung erwartest du wirklich, dass ein Hack dem anderen gleicht? Du hast noch nicht einmal einen Websitezustands-Bericht geliefert, sondern von vorneherein ausgeschlossen „Es liegt nicht an Plugins und Themes“, stattdessen als einzige Information geliefert, dass 2 Dateien einen String /bdf59/ sowie ein @include – Verzeichnisweg zu einer Datei .otc enthielten. Diese sind absolut nicht aussagekräftig, denn sie sind höchstwahrscheinlich zufallsgenerierte Zeichenfolgen. Hacker sind ja nicht doof, ganz wenige sind Scriptkiddies, die per Copy & Paste herumprobieren.
Deine zusätzlichen Aussagen: „haufenweise Verzeichnisse und Dateien, die nicht von mir stammen, lösche ich sie, dann kommen sie wieder“.
Zugegeben (bis auf die zufallsgenerierten Zeichenfolgen) sind das wohl Merkmale, die so ziemlich alle von Hack betroffenen Admins erleben.
Du hast von uns erhalten: Eine ellenlange Liste, die du aus eigenen Interessen abarbeiten solltest. Hinweise, auf Deutsch und Englisch, wie Sicherheitslücken entstehen können, das geht weit über WordPress-Installationen hinaus, zudem auch noch, wie man seine Website absichern kann (hardening) und den Hinweis (im engl. Tutorial sowie von Bego) einen erfahrenen Dienstleister zu bemühen.
Dein „Erfahrungsbericht“ hier hat das Anliegen des Threaderstellers übrigens absolut verfehlt. Denn TE hat bereits ein sauberes Backup aufgespielt und wollte lediglich wissen, „Ich habe keine Ahnung was das ist. Kann mit jemand helfen?“ Da der Code gelöscht wurde und hier auch kein Ort ist, der Hacker-Code diskutiert, ist dieser Thread im Grunde bereits „gelöst“/erledigt.
Ich werde mich jetzt auf keine Streitdiskussion mit dir einlassen. Wenn du dich über Hackerthemen austauschen möchtest, findest du fast ganz unten im ellenlangen Tutorial folgende geeignete Foren für dich:
We often forget but we’re a community based platform, this means that if you’re in trouble someone in the community is likely to give a lending hand. A very good place to start if you’re strapped for cash or just looking for a helping hand is the WordPress.org Hacked or Malware forum.
- Das Thema „Website gehackt -> komische Dateien unter Plugins“ ist für neue Antworten geschlossen.