1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Ungewollte Werbung

Dieses Thema im Forum "Allgemeines" wurde erstellt von AstridG, 7. Oktober 2017.

  1. AstridG

    AstridG Member

    Registriert seit:
    29. September 2010
    Beiträge:
    20
    Zustimmungen:
    0
    Guten Tag,



    mir ist gestern aufgefallen, dass meine Website ungewollte Werbung anzeigt.


    Ich habe das Webserver Verzeichnis dann sofort mit einem Passwortschutz belegt und eine der letzten Sicherungen in einem anderen Verzeichnis zurück gesichert.


    Ich habe keine Erfahrung mit Schadsoftware. Trotzdem habe ich sehr schnell in der Datenbank Einträge gefunden, die einen Link zu akamaihd.net - innerhalb eines Skript Tags - enthalten.



    Ich will nun sicher gehen, dass dies nicht wieder passiert und wüsste deshalb gerne, was die Ursache für diese Einträge war.


    Die naheliegendste Erklärung, die ich bei meiner Recherche gefunden haben, war die: Diese Links werden von einer Malware beim Speichern eines Beitrags über den Browser mit in die Datenbank gespeichert. Es gibt aber nur zwei Benutzer, die Zugriff auf das System haben und die schließen aus, dass Ihre Rechner befallen sind. Ich habe auch folgendes überprüft: Im System wurden keine weiteren Benutzer angelegt.


    Was ich auch noch gemacht habe: Ich habe alle Dateien der Website nach dem Begriff „akamaihd.net“ abgesucht. Diesen habe ich nicht gefunden.


    Ich würde mich freuen, wenn mir hier jemand helfen könnte, die Ursache für diese Einträge zu finden.


    Vielen Dank im Voraus.
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582

    da dein Angreifer damit gerechnet hat, dass du die Änderungen mit dem Begriff "akamaihd.net" suchst, hat er seine Änderungen sicherlich mit der PHP Funktion base64 codiert

    http://php.net/manual/de/function.base64-decode.php


    Du solltest mindestens nach "base64_decode" suchen.

    Aber jetzt ernsthaft - Du kannst keiner Datei mehr trauen. weder einem datensatz in der Datenbank noch einem PHP Script von WordPress oder Plugin noch einer Grafik-Datei.

    Wenn du ein schadecodefreies Backup hast oder dein provider dann lösche alles und verwende die Version aus dem backup.

    Und ein Hacker benötigt nur eine Sicherheitslücke in dem System. dies kann en Plugin oder Theme sein - oder eine alte WordPress Version.

    Bekannte Sicherheitslücken findest du in der Datenbank
    https://www.exploit-db.com/

    Viel Glück

    Ralf
     
  3. AstridG

    AstridG Member

    Registriert seit:
    29. September 2010
    Beiträge:
    20
    Zustimmungen:
    0
    @r23 Vielen Dank für deine nette Antwort.

    Die Sicherung, die ich zurück gesichert haben, war wohl noch OK. Zumindest habe ich in den letzten Tagen mehrmals täglich die Datenbank durchsucht und kein Skript Tag und auch keine Verweis zu akamaihd mehr gefunden.

    Die verunreinigte Version habe ich noch lokal auf meinem Rechner. Hier habe ich auch nach base64_decode gesucht. Da habe ich aber nur Einträge gefunden, die auch im Original vorhanden sind.

    Was ich schade finde. Bei meinem Hoster kann ich nur auf Logeinträge zugreifen, die eine Woche zurückliegen. Alles was älter ist, ist wohl gelöscht. Außerdem kann ich nicht sehen, was genau an Daten übertragen wurde. Wenn ich einen Beitrag ändere, dann sehe in der Access Log nur welche PHP Datei mit POST ausgeführt wurde. Welcher Text genau übertragen wurde kann ich nicht auslesen. Ist das üblich so?
     
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    In der Regel legen sich Angreifer auch weitere Scripte an... zum Beispiel neue Verzeichnisse unter ~/wp-uplaod/2007/9/neu/böse.php
    In der Regel führen Angreifer auch Änderungen an bestehen Scripten durch.

    Mit FileZilla kann man die Original Version von WordPress (download von der Wp Seite) und der Online Version vergelichen. Geänderte Dateien und neue Dateien zeigt dir FileZilla an. Eben auch mal einen Viren Scanner über die Online Version laufen lassen.

    Der WebServer zeichnet keine POST Daten auf.

    Sinnvoll ist es, wenn der Provider Änderungen an den Dateien aufzeichnet und diese dann zur Verfügung stellt. In diesen Log-Files sieht man welche Dateien neu sind oder geändert wurden.

    Wenn der Provider dies nicht zur Verfügung stellt - kann man sich auch mit Scripten helfen.
    https://www.phpgangsta.de/manipulationen-erkennen-bemerken-dass-man-gehackt-wurde

    Viel Glück

    Ralf

    Ps: du musst die Sicherheitslücke finden und beseitigen.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden