Mein Wordpress gehackt?

M

Mofa-Killer

New Member
Hi zusammen,

Hab vor kurzem ne komische Mail bekommen. Hier mal der Auszug:
Hello, dear webmaster.
I just found that your site http://www.bm-modding.de/ has been hacked and the harmful content has been uploaded (like here - http://www.bm-modding.de/custom-essay-writing/).
Please, delete it. Also check the whole site for the same vulnerabilities and repair them.
Hope that helps.
Click to expand...

Ich hab das ganze WP (Dateien und auch im WP-Admin) durchsucht und nicht ansatzweise was gefunden, wie ich das Entfernen kann. Auch über Google nix gefunden, was helfen könnte.
Die Seite läuft auf einem Root mit Debian und Nginx als Webserver.
Auf dem Root sind noch 2 weitere WP Installationen, aber bei denen funktioniert der Link nicht.

Hoffe ihr könnt mir helfen.

MfG
 
Als erstes würde ich einen Export + DB-Backup eines Contents vorschlagen.
Danach z.B. https://wordpress.org/plugins/wordfence/ installieren und laufen lassen.

Alle Orner und htaccess prüfen. Wenn du die Möglichkeit hast siehe auch Serverlogs nach möglichen Pfaden sowie in den vHosts nach.
Im HTML sind keine Wordpress referenzen zu finden und scheint auf den ersten Blick daher statisches Bootstrap/HTML zu sein. Irgendwo müssen diese (auf den ersten Blick entdecke ich elf solcher Seiten) referenziert sein.
Rekurisve suche nach z.B. "Custom essay writing" und "custom-essay-writing" könnten die Sache beschleunigen.

Danach versuchen heraus zu finden wie dies möglich war.
 
Last edited by a moderator:
Wordfence hat geholfen.
index.php, wp-config-sample.php (gleich gelöscht) und noch irgendeine PHP-Datei waren verändert.
Konnte nix genaues erkennen, was irgendwie drauf hinweisen könnte.
Die Suche nach den Begriffen hatte ich versucht. Sowohl normal als auch rekursive. Gab aber nichts aufschlussreiches.
HTML Quelltext auch durchsucht, aber auch dort keinen Hinweis gefunden.

Vielen Dank für die schnelle Hilfe.
 
Last edited by a moderator:
Hast Du auch Maßnahmen ergriffen, daß derlei nicht wieder geschehen kann? Nur Symptome beseitigen hilft nicht, solange das Einfallstor noch existent ist.
 
Üblicherweise sind bei WordPress dubiose oder veraltete Plugins schuld. WP selbst wird eigentlich "nie" gehackt, da es seit Ewigkeiten automatische Updates durchführt. Aber gehackte Webseiten wegen komplett mit Plugins zugeballerten WP-Instanzen haben wir täglich...

Mithilfe des access.log kommt man oftmals schon weiter.
 
Über Wordfence konnte ich auch sehen, das jemand im 5 Minuten Takt auf den "admin"-Account will. Der User "admin" existiert bei mir nicht, da es ja der Standardaccount ist.

Plugin's sind nicht viele, aber weitesgehend aktuell. Deswegen ist mir auch ein Rätsel, wie es dazu kommen konnte. Wenn man nicht weiß durch welche Lücke, derjenige ist kann man diese schlecht schließen.

MfG
 
Last edited by a moderator:
Du könntest noch sicherheitshalber etwaige FTP-Passwörter ändern.

Um Bruteforce auf Admin-Accounts muss man nichts geben (wenngleich diese bei WordPress immense Last bedeuten). Vernünftige Passwörter sind remote de facto nicht knackbar, erst recht nicht per HTTP.
 
Mofa-Killer said:
Plugin's sind nicht viele, aber weitesgehend aktuell. Deswegen ist mir auch ein Rätsel, wie es dazu kommen konnte. Wenn man nicht weiß durch welche Lücke, derjenige ist kann man diese schlecht schließen.
Click to expand...
... ich habe den evtl. relevanten Teil mal markiert.

in letzter Zeit auch gerne genommen: Lücken in Themes.

... und dann gilt natürlich auch immer: Nur, daß ein Plugin aktuell ist heißt noch lange nicht, daß es sicher ist. Es gibt auch aktuelle, gern genutzte Plugins auf einem Softwarestand von 2010, die von keiner Sau mehr betreut werden. Da will ich gar nicht wissen, wie da der Security-Stand ist.

... und dann gibt's halt je nach Konfiguration einfach auch noch schwache User-Passoworte und wenn man mal Redakteur ist, kann man meist auch schon viel zu viel.
 
Aktuell wieder ein kleines Problem. Die index.php wird immer wieder verändert.

Original:
PHP: 
<?php

/**
* Front to the WordPress application. This file doesn't do anything, but loads 
* wp-blog-header.php which does and tells WordPress to load the theme.

Verändert:
PHP: 
<?php 
include_once('wp-admin/includes/pin.png');
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.

Ich verstehe den Sinn hinter dieser Änderung nicht. Es ist ja nur eine PNG Datei.

MfG
 
Mofa-Killer said:
Ich verstehe den Sinn hinter dieser Änderung nicht. Es ist ja nur eine PNG Datei.
Click to expand...

JPG/PNG Injekt?.

Schau mal hier - https://www.exploit-db.com/search/?action=search&description=wordpress&e_author= Solltes du einer der dort gelisteten Erweiterungen nutzen dürfte die Ursache geklärt sein besonders Slider & Galerien sind extrem verwundbar. ggf. provisorisch chmod rechte anpassen auch wenn ggf. Funktionen nicht mehr richtig funktionieren bis du endlich mal eine Lösung hast. Kann für dich auch juristisch ärger bedeuten wenn du Kenntnis über eine vorhandene Lücke hast & sie nicht beseitigst.

Cia
 
Last edited by a moderator:
Eve said:
JPG/PNG Injekt?
Click to expand...

Natürlich!
PHP-include fügt Programmcode in das aufrufende Script ein (wäre auch sinnfrei, eine 'echte' Bilddatei in den Scriptcode zu inkludieren).

Der TO beschränkt sich offenbar nur auf Symptombeseitigung und kann mangels ausreichender Kenntnisse (das läßt zumindest die Fragestellung bezüglich des PNG-Files vermuten) nicht die Sicherheitslücken finden und schließen.
Er sollte sich nach professioneller Hilfe umschauen, um seine Installation wieder sauber und danach auch sicher zu bekommen.
 
@Mofa-Killer
Bei einem Include wird die zu ladende Datei interpretiert und ausgeführt.
Un wenn in der "Bilddatei" irgendwo PHP-Code drin ist, dann knallts.
 
PHP-Friends said:
Prüfe den Timestamp der modifizierten PHP-Datei und gleiche diesen mit deinem access.log ab.
Click to expand...
Je nach Exploit leider evtl. nicht hilfreich - bei uns hat's auch mal ein WP erwischt, da war im Exploit auch ein Timestamp-Setzen der Datei drin.
 
Ich wollte mal einen aktuellen Stand mitteilen.

Die PNG Datei, war an sich eine PHP Datei. Der Code war an sich verschlüsselt, konnte man aber mittels nen Online Decoder wieder entschlüsseln. Daraus konnte man denn sehen das es sich um das WebShell 2.5 handelt.
Danach sämtliche Ordner durchforstet und immer mit einer WP Zip Verglichen. Bis dann alles wieder stimmte. Es war alles im pomo Ordner versteckt.
Nachdem alles gelöscht ist und 3 ungenutzte Plugin's entfernt wurden, gabs seit einigen Tagen keine Meldungen mehr im Wordfence.
In der MySQL Datenbank war auch nichts vom WebShell zu finden. Da der sich laut Recherche auch da einnistet.

@PHP-Friends Es gab keinen Eintrag in der Access.log bei dem Timestamp.

MfG
 
Welche Plugins waren denn Deiner Meinung nach die Übeltäter? Und wie aktuell waren sie zu dem Zeitpunkt?
 
You must log in or register to reply here.
Back
Top