1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Unbekannte Malware

Dieses Thema im Forum "Allgemeines" wurde erstellt von blogbuchstabe, 18. März 2015.

Schlagworte:
  1. blogbuchstabe

    blogbuchstabe Active Member

    Registriert seit:
    26. Oktober 2012
    Beiträge:
    29
    Zustimmungen:
    0
    Hallo !

    Ich betreibe mehrere Wordpress-Installationen, die auf dem neuesten Update-Stand sind (Core & Plugins).
    Wordpress ist aktuell 4.1.1
    Es sind mehrere Themeforrest-Themes im Einsatz, z.B. Enfold oder Karma.

    Da diese Installationen in letzter Zeit immer langsamer wurden, habe ich einmal unter die Haube gesehen und dies gefunden: Im Quelltext erscheint noch VOR dem DOCTYPE eine Zeile wie diese:
    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Sie verändert sich aber permanent - eine weitere Variante sieht beispielsweise so aus:
    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Diese Veränderungen machen es schwer, über eine Textsuche nach bestimmten Fragmenten zu suchen.
    Und nur "iframe" bringt über 1300 Suchergebnisse :confused:

    Das Kuriose: Wordfence (free) hat keine Veränderungen gefunden - weder an den Core Files noch an den Plugins!

    Jede Webseite hat unterschiedliche Plugins im Einsatz - hier einmal die Liste einer typischen Installation:
    • bbPress
    • CodeStyling Localization
    • Contact Form 7
    • CookieCuttr v2
    • Download Manager
    • G-Lock WPNewsman Lite
    • Really Simple CAPTCHA
    • Wordfence Security
    • WordPress-to-Lead for Salesforce CRM
    • WP Statistics
    • XCloner

    Wenn ich die Corefiles manuell ersetze (alles bis auf den Ordner wp-content) dann ist die Zeile verschwunden!
    3-5 Stunden später taucht sie jedoch wieder auf!
    Wenn die Zeile erscheint, ist es oft nicht möglich sich ins Backend einzuloggen - anstelle des Dashboards bleibt der Bildschirm weiß!

    Hat jemand so einen Mist schon mal gehabt ???

    Habe ich noch helfende Angaben vergessen - löchert mich !
    Bin für jede Hilfe dankbar !!! :)
     
  2. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    außer wp-content hast du alles neu gemacht


    wie ich da vorgehe
    alle Passwörter ändern
    FTP
    Datenbank
    WP Admin Zugänge

    Datenbankbackup machen

    Plugin für Plugin am Server löschen und via FTP komplett neu hochladen
    also neu holen, neu hochladen


    ThemeDateien durchsuchen ...
    AntiVirus vom Sergej hilft dabei oder template für template öffnen

    nach unbekannten Usern suchen...

    nicht gebrauchte Plugins und Themes löschen

    wenn geht die Themes auch neu holen, sind ja gekauft müßte gehen oder?


    alle Ordner und Dateien wp-admin /wp-includes und alle Dateien von WP im Root löschen und dann neu hochladen

    wp-content/languages nicht vergessen


    in den UploadOrdner guggen
    wp-config und htaccess kontrollieren...


    einfach Dateien überspielen reicht nie bei "Hilfe ich wurde gehackt"
    leider
     
  3. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    besser ist es, wenn man die Verzeichnisse / Dateien mit einer sauberen Datensicherung vergleicht.

    FileZilla bietet dies unter Ansicht hier => Verzeichnisvergleich an.

    und in der Regel reicht es leider auch nicht, wenn man den Schadecode nur löscht und die Sicherheitslücke nicht beseitigt.

    In der Regel hat der Angreifer sich Tools / Scripte installiert und sich einen weiteren Zugang eingerichtet. Auch diese muss gefunden und beseitigt werden. In der Regel traut man keiner Datei mehr und löscht alles! Nimmt die Seite offline, damit keiner Schaden nimmt und sucht und beseitigt die Sicherheistlücke.

    Wie beschreibt google - auch für Wordpress.
     
  4. sven321

    sven321 Well-Known Member

    Registriert seit:
    3. Mai 2012
    Beiträge:
    110
    Zustimmungen:
    0
    ... und Du solltest auch die WP-Config NICHT im WP Root haben!
    Klar, mit dem z. B. MySQLDumper die DB sichern, bei jeder von Dir ausgeführten Änderung.
    Ich hatte mal ne "schmeiss mich mit mail zu" Maleware, konnte sofort anhand der DB sehen, wie die sich aufgebläht hatte, von ca 524 KB auf über 2 MB (in Options).
    Genau so wichtig ist es, die "namen in der DB ändern, von z.b. WP_OPTION in NAME_OPTION, dazu gibt es diese Plugin, das Dir sicher auch woanders hilfreich sein wird:
    Acunetix WP Security als WP-Plugin
    Hier der Page LINK

    Damit hast Du in Deinen Pages genug zur Hand und extern einfach mal auf der Page nachlesen!

    LG
    Sven
     
  5. blogbuchstabe

    blogbuchstabe Active Member

    Registriert seit:
    26. Oktober 2012
    Beiträge:
    29
    Zustimmungen:
    0
    Vielen Dank für die ganzen Tipps !

    Monikas Tipps sind alle umgesetzt ...
    Sergejs Plugin startet keinen Scan - warum auch immer ...

    Sven - Acunetix scannt leider auch nicht - die Fehlermeldung hat aber bereits jemand vor 11 MONATEN gepostet und keine Antwort von Acunetix erhalten ...

    Was sehr hilfreich bei der Erneuerung POST-HACK ist: Sucuri Security.
    Es erneuert auf Knopfdruck alle Plugins und sendet allen usern neue pwds per email !

    So wie es aussieht habe ich es geschafft - ein scan findet nix und seit 3 Stunden tritt der Fehler nicht mehr auf ...
    Es bleibt spannend ;)

    LG
    Tom
     
  6. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Hast du auch die Sicherheitslücke beseitigt bzw. das Einfallstor gefunden. Das ist noch viel wichtiger ;).
     
  7. blogbuchstabe

    blogbuchstabe Active Member

    Registriert seit:
    26. Oktober 2012
    Beiträge:
    29
    Zustimmungen:
    0
    Nicht direkt gefunden - aber durch das Erneuern fast aller Dateien und Ordner habe ich die Hintertür anscheinend gleich mitgelöscht ...
     
  8. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Wohl kaum, zumal du nicht mal weißt, ob nicht zusätzliche Skripte installiert wurden. Für solche Probleme gibt es normalerweise Professionelle Dienstleister. Erst dann kann man davon ausgehen, das das Problem beseitigt ist.
     
  9. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.857
    Zustimmungen:
    437
    Früher oder später wird er es merken. Die meisten Schlangenöl Benutzer sind sowieso davon überzeugt, dass ihnen nichts passieren kann, sogar wenn diese 'Sicherheitstools' selbst gravierende Sicherheitslücken haben.
     
  10. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    nö - die Sicherheitslücke hast du nicht beseitigt. Dein Angreifer hat Wordpress Scripte erweitert - er hat vermutlich etwas in die Datenbank geschrieben. Er sich einen vermutlich einen Account eingerichtet und er wird für sich eigenen Scripte hochgeladen haben.

    Mit dem überschreiben einiger weniger Dateien erreichst du nichts.
     
  11. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    wenn er all das tat was ich oben schrieb, hat er nichts überschrieben, sondern alles vorher gelöscht und dann neu hochgeladen
    wenn dann hat er eventuell noch was in der Datenbank , das kann der Laie ziemlich sicher nicht finden...
     
  12. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    es gibt einen Unterscheid zwischen ALLES LÖSCHEN und deinem Tipp:

    der übliche Angreifer legt sich in der Regel in ein neues Verzeichnis seine eigenen Scripte - damit er jederzeit seinen Schadecode in das System bekommt. Gerne werden diese Scripte als Grafik getrant in dem Verzeichnis
    ~/wp-content/uploads
    kopiert.

    das Löschen von Plugins bringt nichts
     
  13. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    du hast die Liste des Schadcodeauffindes ergänzt, das find ich wunderbar,
    dass dabei Seitenhiebe nötig sind und das was ich schrieb als Nonsense abzutun auch mit dabei ist, ist wohl unserem besonderem Verhältnis geschuldet. :), weil Diskussionen über unterschiedliche Erfahrungen meist sinnlos sind.
     
  14. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Wer nur einem Teil seiner gehackten Wedpress installation misstraut macht - blödsinn - wenn du diesen Hinweis als persönliche Anfeindung? interpretieren möchtest - ist dies halt deine Sichtweise. Meine Einstellung ist hierbei _personen_ neutral. wirklich.

    1. Regel nach einem hack : Du darst keiner Datei mehr trauen.
    2. Regel informiere deinen Provider, dass du gehackt wurdest.
    3. Regel sorge dafür, dass kein weiterer Nutzer Schaden an deiner Seite nimmt.

    Bei deinem rumeinern um das Plugin Verzeichnis - käuseln sich meine Fußnägel. Dies nun als Heilige Gral darzustellen, was man durch weitere Postings erweitern könnte - macht es jetzt noch schlimmer.

    Ich habe mit dir sicherlich keine Probleme - wirklich nicht. Nur wegen diesem unsachlichen Umgang mit gehackten Seiten - wird in de zurzeit ein neues Gesetz diskutiert. Danach werden vermutlich meine genannten Punkte um folgende erweitert.

    1. Regel melde den Hack beim BSI
    2. Regel: Zahle ein Bußgeld an das BSI
    3. Nimm deine Seite für immer vom Netz

    Einfach mal lesen, was die Innenpolitik in de so vor hat:
    http://www.golem.de/news/innenminister-de-maizi-re-jeder-kleine-webshop-muss-sicher-sein-1412-111244.html

    oder jetzt etwas aktueller
    http://www.golem.de/news/it-sicherheitsgesetz-regierung-beschliesst-meldepflicht-fuer-cyberangriffe-1412-111234.html

    Durch dein posting erweckst du den Eindruck, dass ein Wordpress Anwender ohne Grundlegende Kenntnisse nur ein paar Schritte (Plugin löschen reicht wenn du auch xy machst) seinen Blog selber bereinigen könne. Nur dies wird von mir bezweifelt. Wenn du dieses bezweifeln als "NONSENS" verstehst - tut dies mir leid.

    Kannst du mich bitte in dein Killfile legen? Die Seite hier biete diese Funktion an!
     
    #14 r23, 20. März 2015
    Zuletzt bearbeitet: 20. März 2015
  15. blogbuchstabe

    blogbuchstabe Active Member

    Registriert seit:
    26. Oktober 2012
    Beiträge:
    29
    Zustimmungen:
    0
    Das solche Hilferufe immer ausarten müssen ...

    Zuerst einmal ein Dank an alle Ratgeber!

    @r23
    Natürlich habe ich von Hand alle Verzeichnisse manuell via FTP gelöscht bevor ich alles neu hochgeladen habe!
    Neue Benutzer gibt es nicht !
    Wäre etwas in der Datenbank gelandet, hätte ich es sicherlich nicht beheben können - das stimmt!
    Ansonsten habe ich keinen Stein auf dem Alten gelassen und - tadaaa - seitdem Ruhe !

    LG
    Tom

    PS Mein ursprünglicher Hilferuf bezog sich auch darauf, ob jemand bereits DIESEN speziellen Hack kennt, da ich mir optimistischer Weise ersparen wollte ALLES zu erneuern ... ;) (Nicht hauen r23 ;)
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden