Als ich gestern Abend durch langeweile ein Nebenprojekt in den SERPS (Google Suchergebnissen) suchte, und von da auf die Seite gelangen wollte, traf mich fast der Schlag. Eine rote große Anzeige warnte mich davor die Seite zu besuchen:
Ein Blick auf die Seite brachte erstmal keine Lösung – per Direktaufruf gab es keine Probleme. Was war also geschehen?
Auffälliges konnte ich auf der Seite, im WordPress Adminpanel und auf den Unterseiten nicht finden. Nur wenn ich von Google auf meine Seite zugreifen wollte, wurde ich direkt auf die dubiose Seite https://namesti.bee.pl/weitergeleitet. Als ich mir den Quelltext der index.php anschaute (und wie sich später rausstellte – JEDE weitere php Datei), wurde in der ersten Zeile ein verschlüsselter Schadcode zur Weiterleitung von allen Google Besuchern eingerichtet.
Hier ein Beispielcode – falls ihr ähnliche Codeschnipsel in euren WordPressdateien findet, könnt ihr davon ausgehen dass hier etwas faul ist.
<?php eval(base64_decode("ID8+PD9wdseV....")); ?>
Um ganz sicher zu gehen, benutze ich das Freeware Tool Sucuri SiteCheck – einfach die URL der Seite eingeben und auf „Scan Website“ klicken. Der Report spuckte mir die Realität vor Augen – Site Malwared!!! Zum Vergleich, ein guter Report sollte so aussehen:
Dank dem Abakus Forum fand ich folgenden Beitrag, der mir wenig Hoffnung machte alles schnell zu säubern. Um es kurz zu fassen – eine Säuberungsaktion ist ineffizient und unnötig – es hilft leider nur ein Start von NULL.
Da man sich einfach nicht sicher sein kann, welche Daten jetzt genau betroffen sind (dank Antivir weiss ich dass es genau 137 waren…), habe ich alles bis auf letzte komplett gelöscht, und ein Datenbackup von vor 2 Monaten eingespielt. Die Datenbank habe ich stehen lassen, dazu jedoch gleich mehr
Als aller erstes habe ich WordPress per Autoupdate auf die neuste Version gebracht. Bevor ich die Plugins Updaten wollte, habe ich alle inaktiven und unnötigen Plugins (circa 9 Stück) direkt gelöscht. Danach auch diese aktuallisiert.
Den Sucuri Scanner gibt es als WordPress Plugin mit 2 großen Funktionen – einmal den direkten Check in WordPress auf Malware (jetzt zum Glück wieder alles grün) und das 1-click Hardening was einem hilft seine WordPress Installation abzusichern.
Außerdem führte ich noch folgende Schritte zur Sicherheitsoptimierung durch
Ich bin mir leider immernoch nicht sicher, wie der Schadcode in die Seite gelangt ist. Entweder war das Passwort des Admins zu einfach, eine WordPress Sicherheitslücke wurde ausgenutzt, ein Plugin war/ist schädlich oder hatte/hat eine Sicherheitslücke, etc…..
Ich hoffe jedoch jetzt erstmal Ruhe zu haben und euch mit der Zusammenfassung ein bisschen Helfen zu können, und nie wieder „Als attackierend gemeldete Webseite“ gelistet zu werden =)
In: Wordpress | 6.532 Aufrufe bisher
Letzte Aktualisierung: 7. März 2012 von
3 Kommentare zu WordPress Projekt Gehackt – Als attackierend gemeldete Webseite
RoBo
12. März 2012 am 10:33
Häufig entsteht eine Sicherheitslücke durch eine veraltete timthumb. Diese wird gerne bei Themes genutzt um die Vorschaubilder für Beiträge automatisch zu generieren. Ich prüfe jetzt immer, ob die timthumb auf dem neusten Stand ist (mittels einem Plugin: „Timthumb Vulnerability Scanner“).
Timo
12. März 2012 am 17:03
Danke für den Tipp – habs gleich mal installiert – finde jedoch den Admin Button nicht?! Die Entwicklerseite ist leider auch down 🙁
Alex
20. Juli 2012 am 21:52
Meine Webseiten wurden bereits 2x gehackt (u.a. auch einmal WordPress mit genau demselben Fehlercode).
Meistens liegt das Problem darin, dass du Filezilla oder ein anderes FTP-Programm nutzt, welches deine FTP-Passwörter nicht verschlüsselt abspeichert. Holst du dir dann über eine Sicherheitslücke im Browser einen Virus, liest dieser klammheimlich deine FTP-Daten aus und ergänzt in den relevanten Dateien ein Iframe oder eine Weiterleitung auf die irgendwo gehostete Virusdatei – so verbreitet er sich schnell weiter.
Daher lieber mal deinen eigenen PC checken, nicht dass das Ding immer noch drauf hast.
Gruß Alex