Ein Freitag, 2 Kunden und viele Dateien voller Schadcode.
Ich schrieb die Tage ja von dem WordPress Zeug. 2 der Kunden waren wieder da. Der Aufruf der Domain leitet auf eine Seite, um die Kreditkarten haben möchte. Der ganze Webspace voll mit Dateien mit dem Schema 3456.php. Der Quelltext der Dateien nicht lesbar, vermutlich mit Obfuscator verschleiert. Beide Kunden leicht in Panik.
In beiden Fällen hab ich die Instanzen erstmal von der Außenwelt abgeklemmt und mich per SSH eingeloggt, eine Kopie des aktuellen Stands angelegt und angefangen aufzuräumen. Verzeichnis für Verzeichnis durchwühlt und alles gelöscht, was nicht zu WordPress gehört. Dank Midnight Commander mit Lynx-Steuerung ging das sogar relativ schnell. Offenbar waren bei den beiden HPs aber unterschiedlich Angriffsscenarien vorhanden. Bei der einen gab es zwar auch diese Zahlenkombinatin.php Dateien, aber auch haufenweise Files die der WordPress Struktur nachempfunden sind. Also beginnen mit wp-unddanneinescheinbareFunktion dahinter. Auch der Quelltext begann mit WordPress üblichen Zeug und erst nach runterscrollen kam der kryptische Schadcode. Bei der anderen befand sich im Kopf der index.php direkt der Schadcode der immer mehr Zeug nach geladen hat.
Auch die .htaccess Dateien waren um geschrieben. Nachdem ich also alles an Schrotte entfernt hatte, hab ich mich ins WordPress eingeloggt und habe hier einfach mal alles Plugins gelöscht, die offenbar keinen Sinn ergeben (drei verschiedene Duplikator-Plugins, 2 BackupTools und ein Plugin, das einen Dateimanager in WordPress einbaut. Dass bei beiden Instanzen dieselben Plugins vorhanden sind, ist sicherlich nur ein Zufall. Beide WordPress Instanzen waren übrigens auf dem aktuellen Stand und auch alle Plugins und Themes waren aktuell. Also keine Ur-Alt-Sicherheitslücken, die hier gehackt wurden.
Hab dann die Instanzen wieder freigeschaltet und noch einige Zeit beobachtet. Es ist erstmal nichts passiert. Die Kunden informiert und gebeten, das über das Wochenende zu beobachten und die Seite ggf. selbstständig wieder abzuschalten, wenn es wieder zu Problemen kommt.
Jetzt hoffe ich mal das es nur Zufall und keine neue Welle ist. Sehr viele Kunden lassen sich Ihre Websites von einer Agentur zusammenklicken. Die Agentur portieren die Seiten dann mit Duplikator und dann ist der Kram auf sich alleine gestellt. Ich ahne böses…
2 Antworten zu „Gehacktes WP“
Hi,
Blöd ist wenn man als WordPress Neuling so null Ahnung hat, wenn etwas schief geht, was dann zu machen ist. Hoffe es geht gut bei deinen beiden Kunden.
Ja, das ist in der Tat blöd. Deswegen gehen wir bei betreffenden Kunden immer sehr weit über das hinaus, was wirklich eigentlich machen müssten oder sollten. Prozess sieht vor: Instanz sperren, Kunden Infomieren, Kunde meldet sich wenn Instanz wieder sauber. Unterm Strich würde das vermutlich für viele Kunden bedeuten, die Präsenz zu schließen. Das ist aber natürlich nicht in meinem Sinne. Daher….