1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Virus

Dieses Thema im Forum "Allgemeines" wurde erstellt von heinetz, 23. Oktober 2021.

Schlagworte:
  1. heinetz

    heinetz Well-Known Member

    Registriert seit:
    8. Oktober 2007
    Beiträge:
    82
    Zustimmungen:
    0
    Hallo Forum,

    ich habe vor einiger zeit mal eine WP-Site gebaut, auf der nun offenbar ein Virus (Vielleicht nennt sich das auch Malware) sein Unwesen treibt. Wie äussert sich das? Meine Kundin berichtete von Weiterleitungen auf externe Seiten sobald man auf's Menu klickt. Ich habe eben angefangen, mich mit der Problematik zu beschäftigen und habe auf dem Server bei all-inkl auch eine Virusmeldung erhalten.

    Es gibt zwei Unterverzeichnisse im plugins-Directory, die ich nie erstellt habe. Darin befinden sich zwei php-Files, die all-inkl mittlerweile umbenannt und gesperrt hat. Ich habe versucht, die Files per FTP downzuloaden, um mal reinzuschauen und weitere Hinweise zu finden. Aber das ging nicht.

    Wie und in welcher Reihenfolge gehe ich sinnvollerweise vor, um den Schaden nachhaltig zu beheben?

    danke für Tips und

    beste gruesse,
    heinetz
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Das allgemeine Vorgehen bei einem Hack ist z.B. in dieser Antwort kompakt zusammengefasst beschrieben, das könntest Du mit jemandem mit WordPress Erfahrung bei Dir im näheren Umfeld zusammen durchgehen.

    Dabei am Wichtigsten wäre, die für den Hack genutzte(n) Lücke(n) zu ermitteln, damit das nicht wieder passiert.

    Die beschriebenen von All Inkl. gesperrten Dateien kannst Du möglicherweise nicht selbst mit Deinen FTP Benutzerrechten löschen, wende Dich in dem Fall an den Support dort.
     
  3. threadi

    threadi Well-Known Member

    Registriert seit:
    9. Oktober 2020
    Beiträge:
    1.966
    Zustimmungen:
    397
    Die komplette Seite vom Netz nehmen, alle Dateien und Datenbanken löschen und eine Datensicherung einspielen von einem Zeitpunkt bei dem Du sicher bist, dass die darin enthaltenen Dateien nicht kompromitiert sind. Anschließend schauen, dass Wordpress wie auch alle Plugins nach dem Einspielen auf dem neuesten Stand sind und ggfs. prüfen, ob ein Plugin dabei ist, welches keinerlei Updates seit einiger Zeit erhalten hat.
     
  4. heinetz

    heinetz Well-Known Member

    Registriert seit:
    8. Oktober 2007
    Beiträge:
    82
    Zustimmungen:
    0
    Die komplette Seite neu einzuspielen wird wohl nicht so aufwendig sein. Ich habe noch die lokal entwickelte Version. Lediglich einige wenige Inhalte in der DB und vielleicht ein paar Uploads sind nach der Installation hinzugekommen/verändert worden.

    WP Core und Plugins aktualisieren geht per Knopfdruck.

    Aber wie die Lücke finden? Ich wüsste nicht, wo ich Logfiles finden könnte. Meine erste Idee war, die PHP-Files anzusehen, die all-inkl als Spam identifiziert hat.

    gruss,
    heinetz
     
  5. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
    Wurde die Website denn regelmäßig aktualisiert? Erhalten alle Plugins und Themes, die du einsetzt noch Updates?

    In den allermeisten Fällen liegt es an nicht aktualisierter Software, wenn eine Seite gehackt wird. Da du (aller Wahrscheinlichkeit nach) einen Webspace bei All-Inkl hast, bei dem der Webserver von All-Inkl gewartet wird, könntest du auch versuchen, die Seite wiederherzustellen, zu aktualisieren und dann regelmäßig Updates einzuspielen. Eventuell ist das Problem damit auch schon gelöst.

    Du solltest dann aber ein genaues Auge auf deine Seite haben und prüfen, ob der Hack erneut passiert (bei sowas ist zum Beispiel auch die Prüfung der Datei-Integrität mittels Plugin, z.B. Wordfence ganz nützlich).

    Auch solltest du deine Passwörter (vor allen die der User und der Datenbank) ändern.

    Es gibt natürlich auch noch weitere Einfallstore (z.B. könnte auch der PC gehackt sein, auf dem du die Passwörter gespeichert hast bzw. mit dem du die eingibst, es könnte bisher unbekannte Lücken in Plugins geben, und vieles mehr). Aber wenn du das Problem selbst lösen willst (oder musst), wäre der o.g. Weg zumindest einen Versuch wert.
     
  6. heinetz

    heinetz Well-Known Member

    Registriert seit:
    8. Oktober 2007
    Beiträge:
    82
    Zustimmungen:
    0
    Nein, auf der Seite wurde niemals irgendetwas aktualisiert. Wie gesagt wird es sicher kein grosses Problem sein, eine alte Version zu installieren und alles zu aktualisieren.

    Mit Wordfence habe ich nun auch noch mehr PHP-Files gefunden, die da nicht hingehören. Ich würde halt gerne nachvollziehen, wie konkret die dorthin gekommen sind.
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Das ist der erste und wichtigste Punkt im o.g. verlinkten Vorgehen:
    Üblicherweise beginnt man damit, anhand des Dateidatums der ältesten veränderten Dateien in den Server-Logs nachzusehen.
    Tipp am Rande in so einem Fall: Ein Hack kommt selten alleine, es gab ggf. auch unterschiedliche Infektionszeitpunkte.
     
  8. heinetz

    heinetz Well-Known Member

    Registriert seit:
    8. Oktober 2007
    Beiträge:
    82
    Zustimmungen:
    0
    Gut, nun habe ich auf dem Server das Logging erst gestern aktiviert. Hab's mir eben mal angesehen, würde aber nichts als verdächtig einstufen. Aber ich müsste natürlich auch wissen, wonach ich suchen soll und ob in den letzten 24 Stunden etwas verdächtiges zu finden ist, ist fraglich.

    Ich würde sagen, so finde ich die Sicherheitslücke nicht.
     
  9. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
    Das Problem ist, wie @b3317133 schon sagt, selbst wenn du jetzt in Zukunft Auffälligkeiten in den Logs finden solltest (wovon ich ausgehe), ist es nicht gesagt, dass dies der "ursprüngliche" Hack ist. Oft werden vorhandene Hacks als Einfallstor genutzt um weitere Malware "nachzuladen".

    Wenn du in der Vergangenheit keine Access Logs hattest (was ich eher ungewöhnlich finde, was sagt denn dein Hoster?), wirst du hier nicht viel erreichen können.

    Das Auswerten der Logs ist zugegebenermaßen auch nichts, was man mal eben machen kann, ohne zu wissen, wie sowas tatsächlich aussieht und was legitime Zugriffe, unlegitime (aber unproblematische) Zugriffe und was wirklich problematische Zugriffe sind.
    Soll heißen, dafür braucht man leider schon ein bisschen Erfahrung.

    Insofern würde ich bei meiner Empfehlung bleiben: Updates machen und engmaschig beobachten. Wenn es dann wieder passieren sollte hast du zumindest die Logs aktiviert und bist vielleicht ein bisschen schlauer.
     
    meisterleise gefällt das.
  10. heinetz

    heinetz Well-Known Member

    Registriert seit:
    8. Oktober 2007
    Beiträge:
    82
    Zustimmungen:
    0
    So, ich habe jetzt mal angefangen und ein paar Dinge getant ...

    Mein Hoster sagt, Logfiles werden nur dann erstellt, wenn man das explizit einstellt. Das habe ich halt erst vor ein paar Tagen getan. Insofern lassen sich nicht wirklich Schlüsse daraus zieh'n. Die auf dem Server automatisch generierten Backups sin höchsten 4 Wochen alt. Da war das System schon befallen. Mir bleibt also nur, die 2018 lokal entwickelte Version neu zu installieren und die geänderten Inhalte aus der aktuellen (gehackten) Version sicher und effizient einzuspielen.

    Dazu habe ich nun zunächst die aktuelle Site per .htpasswd geschützt. Nun würde ich die Version aus 2018 in einem neuen Verzeichnis auf dem Webserver installieren. Wie kriege ich nun die geänderten Inhalte übertragen?

    1. Uploads
    Das Uploads-Verzeichnis liesse sich ja recht einfach aus der kompromittieren Version kopieren.

    2. Datenbank
    Ich denke, die neue Installation einfach mit der alten Datenbank weitermachen zu lassen ist sicher riskant. Kann ich die DB auf Virenbefall prüfen und ggf. fixen? Ich habe keine entsprechenden Tools gefunden. Die Malware-Scanner, ich ausprobiert habe, suchen nur nach verdächtigen files.
     
  11. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.988
    Zustimmungen:
    198
    Das würde funktionieren.

    Das würde evtl. auch nicht funktionieren. Würde mit Sicherheit viele Fehler erzeugen.

    Wenn Dir die Arbeit zu viel ist, die Version aus 2018 manuell alles herzustellen, solltest du vielleicht ein paar Euros in die Hand nehmen und jemand beauftragen der deine aktuell gehackte Seite bereinigt.
     
  12. heinetz

    heinetz Well-Known Member

    Registriert seit:
    8. Oktober 2007
    Beiträge:
    82
    Zustimmungen:
    0
    Nein nein, es ist mir nicht zu viel Arbeit, alles wieder herzustellen. Es ist lediglich meine Abwägung, was sinnvoll ist und die Frage danach, was technisch möglich ist.
     
  13. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Einfach kopieren ist hochriskant!! Gerade im Uploads Verzeichnis verstecken sich viele Backdoors, siehe daher auch wichtiger Hinweis im o.g. verlinkten Vorgehen.
    Das macht man üblicherweise so, "alles erkennende Tools" gibt es nicht. Selbst lesen der relevanten Felder im SQL-Dump, Erkennen von Mustern von ggf. eingefügten Links/Scripts, Entfernen dieser Dinge, ggf. durch passenden selbst erstellten Code. Dazu kommt, wenn man den/die Hack(s) identifiziert hat, anhand deren Code festzustellen, ob/welche Felder in der der DB für was genutzt wurden.

    Wenn die neue Installation das gleiche Theme und die gleichen Plugins wie die alte Installation hat, dürfte es generell kein Problem geben. Bei ggf. auftretenden seltenen Hindernissen dabei ist etwas WordPress Erfahrung oder Eigenrecherche mit daraus folgenden entspr. Lernprozessen nötig, z.B. Weglassen einer Tabelle eines Plugins und Neueinrichtung des einen Plugins o.ä.

    Technisch möglich ist alles.
     
  14. heinetz

    heinetz Well-Known Member

    Registriert seit:
    8. Oktober 2007
    Beiträge:
    82
    Zustimmungen:
    0
    Schon klar. Das hatte ich nicht extra aufgeführt. Ich würde in dem Verzeichnis vorher nach allem Auschau halten, was nicht .jpg oder .png ist.

    Ich habe bei keinem der Malware-Scanner, die ich ausprobiert hatte, erkannt, dass sie die DB scannen.
     
  15. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Dieses Forum soll auch anderen Hilfe zur Selbsthilfe bieten, daher kann eine Aussage, man könne das Uploads Verzeichnis einfach kopieren, fatale Folgen haben. Was man sich selbst alles zusätzlich dazu gedacht hat, weiss ein späterer Hilfesuchender nicht.
    Wie gesagt, "alles erkennende Tools" gibt es nicht, daher macht man das "DB auf Virenbefall prüfen und ggf. fixen" üblicherweise wie beschrieben manuell durch "selbst lesen" und ggf. "entfernen durch selbst erstellten Code" usw.

    Generelle Ergänzung: Man sollte bei einem Virenbefall bzw. Hack niemals direkt in der Live Installation irgendwelche Tools nutzen oder sonstige Änderungen vornehmen, sondern immer zuerst eine Komplettkopie der ganzen gehackten Installation mit allen Dateien und Ordnern und Datenbank erstellen, damit man anhand dieser Daten auch später noch nachvollziehen kann, was passiert sein könnte, welche Dateien bzw. Datenbankeinträge wann erstellt wurden usw.
     
    #15 b3317133, 26. Oktober 2021
    Zuletzt bearbeitet: 26. Oktober 2021
  16. arnego2

    arnego2 Well-Known Member

    Registriert seit:
    10. Januar 2021
    Beiträge:
    592
    Zustimmungen:
    63
    Wieso ging das nicht wenn man fragen darf?
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden