melon|media Blog

Internetagentur Blog

melon|media Blog
Aktuelle Seite: Startseite / WordPress / WordPress Hack-Welle: Redirect auf unseriöse Webseiten

WordPress Hack-Welle: Redirect auf unseriöse Webseiten

by Kommentar verfassen

Aus aktuellem Anlass: In den letzten Tagen bekommen wir vermehrt Rückmeldungen, dass Websites mit WordPress, aber auch Magento, gehackt worden sind. Eine regelrechte Hack-Welle hat sich innerhalb kürzester Zeit auf WordPress und Magento Systemen ausgebreitet. In den konkreten Fällen sind alle Beitragstypen – wie Beiträge, Produkte oder Seiten – nach dem Angriff mit einem JavaScript-Aufruf modifiziert worden. Als Ergebnis werden Besucher der Website auf Gewinnspiel-Seiten oder ähnliche unseriöse Inhalte weitergeleitet. Häufig befindet sich der Schadcode seit längerem auf den Websites unentdeckt. Dieser ist aber seit dem 11.11.2019 auf den infizierten Websites vermehrt ausgeführt worden.

WordPress Sicherheit
Eine Hack-Welle im November 2019 hat einen Großteil der WordPress Community aufgeschreckt

Zunehmend wird diese Hack-Welle im November im Internet diskutiert. Die Tragweite der Angriffe zeigt sich bei genauerer Betrachtung der Vorfälle. Neben dem Einschleusen hunderter infizierter JS-Dateien, hinterlassen die Hacker auch andere „Geschenke“ in Form von infizierten Datenbanken. Am Beispiel von WordPress sind die Tabellen wp_options und wp_posts verändert worden.

Wie üblich reicht es den Hackern nicht, bösartigen Code einzuspeisen oder Datenbanken zu manuipulieren. In einigen Fällen versuchten sie auch den Zugriff auf kompromittierte Websites zu behalten oder bequemere Möglichkeiten zu schaffen auf diesen zu arbeiten.
Der Sicherheitsanbieter Sucuri schreibt in einem aktuellen Beitrag zu der November Hack-Welle folgendes: “Im Falle dieses Angriffs finden wir in der Regel neue bösartige WordPress-Administratoren, welche der Tabelle wp_users der Datenbank hinzugefügt worden sind. Diese gefälschten Admins helfen den Angreifern, unbefugten Zugriff auf die gefährdeten Umgebungen zu erhalten und bestimmte Änderungen vorzunehmen.” In den WordPress Installationen unserer Kunden konnten wir beispielsweise neue Benutzer, wie “service” oder “bencraftrocher”, entdecken.

Hack-Welle: Wie konnte das passieren?

Software ist nie fehlerfrei. Das Gleiche gilt natürlich auch für Redaktions- bzw. Shop-systeme, wie WordPress oder Magento. Im aktuellen Fall haben Hacker vermutlich es geschafft, entweder die bereits vorhandene adminer.php, die Teil des Plugins Adminer ist, zu missbrauchen oder sogar durch eine weitere Sicherheitslücke diese auf den Server hochzuladen. Zumindest ist bekannt, dass das Plugin Adminer in der veralteten Version 4.6.3 Zugriff auf den Server erlaubte und so die Anweisung LOAD DATA LOCAL INFILE ausführen konnte. Ist die Datei adminer.php in dieser veralteten Version erst einmal auf dem Server, ist die Modifikation der Website bzw. der Datenbank möglich.
Malware Weiterleitung in WordPress
Auf solche oder ähnliche Seiten wird weitergeleitet, wenn ein Malware Angriff erfolgte

Was ist zu tun?

Ausgehend von unseren Erfahrungen in solchen Fällen, möchten wir hier gerne ein paar Anhaltspunkte zusammenstellen, die euch helfen sollen eure Situation besser einzuschätzen.
Bei solchen Hacking-Angriffen, ist es erstmal wichtig, Ruhe zu bewahren. Verifiziere zunächst, ob Deine Website wirklich von einem Angriff betroffen ist oder vielleicht ein anderes technisches Problem vorliegt. Eine solche Prüfung empfehlen wir mit dem Sucuri Sitechecker durchzuführen. Sollte dieser Test positiv sein, empfehlen wir folgende Schritte durchzuführen.
  1. Entferne die folgenden infektiösen Dateien:
    1. Adminer.php befindet sich im root
    2. Entferne die Datei wp-content/plugins/super-socialat/super_socialat.php
  2. Bereinige die Datenbank und halte Ausschau nach z.B. folgenden Skripten:
    1. <script src=’https://land.buyittraffic.com/clizkes‘ type=’text/javascript‘></script>
  3. Ändere das Datenbank-Passwort
  4. Lege neue FTP/SSH Passwörter fest
  5. Passwörter von WordPress Admin-Usern (die bekannt sind) sollten ebenfalls geändert
  6. Nicht genutzte WordPress User entfernen
  7. Wenn es keine Sicherheitskopie Deiner Website gibt, dann ist jetzt der Zeitpunkt eine solche zu erstellen.

Du brauchst Hilfe?

Solltest Du Hilfe benötigen, um Deine WordPress Website zu bereinigen, dann setze Dich gerne mit uns in Verbindung. Wir versuchen Dir dann schnell und unkompliziert zu helfen.

Ähnliche Beiträge:

  1. WordPress Updates: Warum sie wichtiger werden!
  2. WordPress 5.0: Die neue Art Inhalte zu erstellen
  3. SEO für WordPress: wpSEO vs. WordPress SEO by Yoast
  4. Das WordPress Menü verändern