Weitere Informationen und den Download findest du auf der offiziellen Anlaufstelle de.wordpress.org
Ergebnis 1 bis 4 von 4
  1. #1
    PostRank: 1
    Registriert seit
    29.09.2010
    Beiträge
    20

    Ungewollte Werbung

    Guten Tag,



    mir ist gestern aufgefallen, dass meine Website ungewollte Werbung anzeigt.


    Ich habe das Webserver Verzeichnis dann sofort mit einem Passwortschutz belegt und eine der letzten Sicherungen in einem anderen Verzeichnis zurück gesichert.


    Ich habe keine Erfahrung mit Schadsoftware. Trotzdem habe ich sehr schnell in der Datenbank Einträge gefunden, die einen Link zu akamaihd.net - innerhalb eines Skript Tags - enthalten.



    Ich will nun sicher gehen, dass dies nicht wieder passiert und wüsste deshalb gerne, was die Ursache für diese Einträge war.


    Die naheliegendste Erklärung, die ich bei meiner Recherche gefunden haben, war die: Diese Links werden von einer Malware beim Speichern eines Beitrags über den Browser mit in die Datenbank gespeichert. Es gibt aber nur zwei Benutzer, die Zugriff auf das System haben und die schließen aus, dass Ihre Rechner befallen sind. Ich habe auch folgendes überprüft: Im System wurden keine weiteren Benutzer angelegt.


    Was ich auch noch gemacht habe: Ich habe alle Dateien der Website nach dem Begriff „akamaihd.net“ abgesucht. Diesen habe ich nicht gefunden.


    Ich würde mich freuen, wenn mir hier jemand helfen könnte, die Ursache für diese Einträge zu finden.


    Vielen Dank im Voraus.


  2. #2
    r23
    r23 ist offline
    PostRank: 10
    Registriert seit
    09.12.2006
    Beiträge
    3.769
    Zitat Zitat von AstridG Beitrag anzeigen
    Was ich auch noch gemacht habe: Ich habe alle Dateien der Website nach dem Begriff „akamaihd.net“ abgesucht. Diesen habe ich nicht gefunden.

    da dein Angreifer damit gerechnet hat, dass du die Änderungen mit dem Begriff "akamaihd.net" suchst, hat er seine Änderungen sicherlich mit der PHP Funktion base64 codiert

    http://php.net/manual/de/function.base64-decode.php


    Du solltest mindestens nach "base64_decode" suchen.

    Aber jetzt ernsthaft - Du kannst keiner Datei mehr trauen. weder einem datensatz in der Datenbank noch einem PHP Script von WordPress oder Plugin noch einer Grafik-Datei.

    Wenn du ein schadecodefreies Backup hast oder dein provider dann lösche alles und verwende die Version aus dem backup.

    Und ein Hacker benötigt nur eine Sicherheitslücke in dem System. dies kann en Plugin oder Theme sein - oder eine alte WordPress Version.

    Bekannte Sicherheitslücken findest du in der Datenbank
    https://www.exploit-db.com/

    Viel Glück

    Ralf

  3. #3
    PostRank: 1
    Registriert seit
    29.09.2010
    Beiträge
    20
    @r23 Vielen Dank für deine nette Antwort.

    Die Sicherung, die ich zurück gesichert haben, war wohl noch OK. Zumindest habe ich in den letzten Tagen mehrmals täglich die Datenbank durchsucht und kein Skript Tag und auch keine Verweis zu akamaihd mehr gefunden.

    Die verunreinigte Version habe ich noch lokal auf meinem Rechner. Hier habe ich auch nach base64_decode gesucht. Da habe ich aber nur Einträge gefunden, die auch im Original vorhanden sind.

    Was ich schade finde. Bei meinem Hoster kann ich nur auf Logeinträge zugreifen, die eine Woche zurückliegen. Alles was älter ist, ist wohl gelöscht. Außerdem kann ich nicht sehen, was genau an Daten übertragen wurde. Wenn ich einen Beitrag ändere, dann sehe in der Access Log nur welche PHP Datei mit POST ausgeführt wurde. Welcher Text genau übertragen wurde kann ich nicht auslesen. Ist das üblich so?

  4. #4
    r23
    r23 ist offline
    PostRank: 10
    Registriert seit
    09.12.2006
    Beiträge
    3.769
    Zitat Zitat von AstridG Beitrag anzeigen
    Die Sicherung, die ich zurück gesichert haben, war wohl noch OK. Zumindest habe ich in den letzten Tagen mehrmals täglich die Datenbank durchsucht und kein Skript Tag und auch keine Verweis zu akamaihd mehr gefunden.
    In der Regel legen sich Angreifer auch weitere Scripte an... zum Beispiel neue Verzeichnisse unter ~/wp-uplaod/2007/9/neu/böse.php
    In der Regel führen Angreifer auch Änderungen an bestehen Scripten durch.

    Mit FileZilla kann man die Original Version von WordPress (download von der Wp Seite) und der Online Version vergelichen. Geänderte Dateien und neue Dateien zeigt dir FileZilla an. Eben auch mal einen Viren Scanner über die Online Version laufen lassen.

    Zitat Zitat von AstridG Beitrag anzeigen
    Was ich schade finde. Bei meinem Hoster kann ich nur auf Logeinträge zugreifen, die eine Woche zurückliegen. Alles was älter ist, ist wohl gelöscht. Außerdem kann ich nicht sehen, was genau an Daten übertragen wurde. Wenn ich einen Beitrag ändere, dann sehe in der Access Log nur welche PHP Datei mit POST ausgeführt wurde. Welcher Text genau übertragen wurde kann ich nicht auslesen. Ist das üblich so?
    Der WebServer zeichnet keine POST Daten auf.

    Sinnvoll ist es, wenn der Provider Änderungen an den Dateien aufzeichnet und diese dann zur Verfügung stellt. In diesen Log-Files sieht man welche Dateien neu sind oder geändert wurden.

    Wenn der Provider dies nicht zur Verfügung stellt - kann man sich auch mit Scripten helfen.
    https://www.phpgangsta.de/manipulati...-gehackt-wurde

    Viel Glück

    Ralf

    Ps: du musst die Sicherheitslücke finden und beseitigen.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •