By Leave a Comment on Häufige WordPress-Malware-Infektionen

Durch die Verwendung von egrep sind wir in der Lage, bei Bedarf mehrere Wörter gleichzeitig zu suchen, was Ihnen in diesem Fall Zeit spart.

Oder versuchen Sie so etwas:

# grep -r "http://canadapharmacy.com" .

Dies funktioniert nur, wenn die Infektion nicht verschlüsselt oder verkettet ist.

Eine weitere nützliche Methode ist der Zugriff auf Ihre Website über verschiedene User Agents und Referrer. Hier ist ein Beispiel dafür, wie eine Website aussah, wenn ein Microsoft IE 6 Referrer verwendet wurde:

Versuchen Sie Bots vs. Browsers, um Ihre Website mit verschiedenen Browsern zu überprüfen.

Terminalbenutzer können auch CURL verwenden:

# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com

Wie verhindere ich es?

Die Verhinderung eines Pharma-Hacks kann schwierig sein. Sucuri hat herausgefunden, dass der Hack regelmäßig anfällige, veraltete Software ausnutzt. Ihre veraltete WordPress-Installation ist jedoch nicht unbedingt das Problem. Selbst wenn Sie auf dem neuesten Stand sind, könnte eine andere veraltete Installation auf demselben Server für die Infektion anfällig sein. Wenn sich die eigentliche Nutzlast an anderer Stelle auf Ihrem Server und nicht im Verzeichnis Ihrer Website befindet, kann es außerordentlich schwierig sein, sie abzufangen.

Hier ist ein Beispiel dafür, wonach Sie suchen könnten, wenn Sie die Infektion nicht in Ihrer eigenen Installation finden können:

Um einen Pharma-Hack zu verhindern, sollten Sie zwei Dinge tun:

  1. Halten Sie Ihre Software auf dem neuesten Stand,
  2. Halten Sie sich von Suppenküchen-Servern fern.

Bösartige Weiterleitungen

Eine bösartige Weiterleitung schickt einen Nutzer auf eine bösartige Website. Im Jahr 2010 wurden 42.926 neue bösartige Domains entdeckt. Im Jahr 2011 stieg diese Zahl auf 55.294. Und dabei handelt es sich nur um Hauptdomänen, nicht um alle Unterdomänen.

Wenn ein Besucher auf eine andere Website als die Hauptwebsite umgeleitet wird, kann die Website eine bösartige Nutzlast enthalten, muss es aber nicht. Angenommen, Sie haben eine Website unter myhappysite.com; wenn jemand diese besucht, könnte die Website den Besucher zu meansite.com/stats.php weiterleiten, wo sich die bösartige Nutzlast in der stats.php-Datei dieser Website befindet. Es könnte sich aber auch um eine harmlose Website handeln, die nur Werbung und keine bösartige Nutzlast enthält.

Wie werde ich angegriffen?

Wie bei vielen Malware-Angriffen kommt es auf den Zugang an. Die bösartige Weiterleitung könnte durch eine Backdoor erzeugt werden. Der Hacker würde nach einer Schwachstelle wie TimThumb oder alten Versionen von WordPress suchen und, wenn er sie findet, eine Nutzlast hochladen, die als Backdoor fungiert.

Wie sieht es aus?

Die Erkennung einer Weiterleitung ist nicht so komplex wie die Erkennung einiger anderer Infektionen. Sie befindet sich oft in Ihrer .htaccess-Datei und sieht etwa so aus:

Oder so:

Es kann vorkommen, dass eine Weiterleitung verschlüsselt ist und sich in einer Ihrer PHP-Dateien befindet. Wenn dies der Fall ist, befindet sie sich in der Regel in Ihrer header.php-, footer.php– oder index.php-Datei; es ist auch bekannt, dass sie sich in der Stammdatei index.php und in anderen Kernvorlagendateien befindet. Es ist nicht immer verschlüsselt, aber wenn es verschlüsselt ist, sieht es ungefähr so aus:

Wie erkenne ich, ob ich infiziert bin?

Es gibt einige Möglichkeiten, auf Infektionen zu prüfen. Hier sind einige Vorschläge:

  • Verwenden Sie einen kostenlosen Scanner, wie z.B. SiteCheck. Sie übersehen sehr selten bösartige Weiterleitungen.
  • Testen Sie mit Bots vs. Browser.
  • Hören Sie auf Ihre Benutzer. Es kann sein, dass Sie die Weiterleitung nicht entdecken, aber manchmal wird ein Benutzer Sie darauf aufmerksam machen.

Wenn ein Benutzer ein Problem entdeckt, stellen Sie ihm sachdienliche Fragen, um das Problem zu diagnostizieren:

  • Welches Betriebssystem verwendet er?
  • Welche(n) Browser verwenden sie und welche Version(en)?

Je mehr Informationen Sie von ihnen erhalten, desto besser können Sie das Problem reproduzieren und eine Lösung finden.

Wie wird es gereinigt?

Bösartige Weiterleitungen gehören zu den am einfachsten zu reinigenden Infektionen. Hier ist ein guter Ausgangspunkt:

  1. Öffnen Sie Ihre .htaccess-Datei.
  2. Kopieren Sie alle Rewrite-Regeln, die Sie selbst hinzugefügt haben
  3. Erkennen Sie jeglichen bösartigen Code, wie das obige Beispiel, und entfernen Sie ihn aus der Datei. Scrollen Sie bis zum Ende von .htaccess, um sicherzustellen, dass es keine Fehlerdirektiven gibt, die auf dieselbe Infektion hinweisen

Suchen Sie auch nach allen .htaccess-Dateien auf dem Server. So können Sie schnell feststellen, wie viele auf Ihrem Server vorhanden sind:

# find -name .htaccess -type f | wc -l

Und so erfahren Sie, wo genau sich diese Dateien befinden:

# find -name .htaccess -type f | sort

Die Infektion ist jedoch nicht immer auf diese Dateien beschränkt. Je nach Infektion können Sie die Umleitung auch verschlüsselt und eingebettet in einer Datei wie index.php oder header.php finden.

Alarmierenderweise können sich diese Infektionen in allen Ihren .htaccess Dateien replizieren. Die dafür verantwortliche Hintertür kann auch verwendet werden, um mehrere .htaccess-Dateien in allen Ihren Verzeichnissen zu erstellen, die alle dieselbe Infektion enthalten. Die Entfernung der Infektion kann sich wie ein harter Kampf anfühlen, und manchmal reicht es nicht aus, alle Dateien zu säubern, die Sie finden können. Es gibt sogar Fälle, in denen eine Datei außerhalb des Web-Verzeichnisses erstellt wurde. Die Lektion lautet: Suchen Sie immer sowohl außerhalb als auch innerhalb Ihres Webverzeichnisses.

Wie verhindere ich das?

Eine schnelle und einfache Methode besteht darin, die Eigentumsrechte an der Datei zu ändern oder die Dateiberechtigungen so zu reduzieren, dass nur der Eigentümer das Recht hat, sie zu ändern. Wenn Ihr Root-Konto jedoch kompromittiert ist, wird Ihnen das nicht viel nützen.

Die wichtigste Datei, auf die Sie achten müssen, ist .htaccess. In der Anleitung „Schützen Sie Ihre WordPress-Site mit .htaccess“ finden Sie Tipps dazu.

Schlussfolgerung

Da haben Sie es: vier weit verbreitete Angriffe, die heute bei vielen WordPress-Installationen für Verwüstung sorgen. Sie fühlen sich vielleicht nicht besser, wenn Sie gehackt werden, aber mit diesem Wissen haben Sie hoffentlich mehr Zuversicht, dass der Hack bereinigt werden kann und Sie Ihre Website wieder zurückbekommen. Das Wichtigste, was Sie daraus mitnehmen können: Halten Sie WordPress immer auf dem neuesten Stand.

Tonys zehn wichtigste Sicherheitstipps

  1. Schaffen Sie allgemeine Konten ab, und wissen Sie, wer auf Ihre Umgebung zugreift.
  2. Schützen Sie Ihre Verzeichnisse, damit Angreifer sie nicht gegen Sie verwenden können. Verhindern Sie die Ausführung von PHP.
  3. Bewahren Sie ein Backup auf; Sie wissen nie, wann Sie es brauchen.
  4. Verbinden Sie sich sicher mit Ihrem Server. SFTP und SSH sind zu bevorzugen.
  5. Vermeiden Sie Suppenküchen-Server. Trennen Sie zwischen Entwicklung, Staging und Produktion.
  6. Bleiben Sie mit Ihrer Software auf dem neuesten Stand – und zwar mit der gesamten Software.
  7. Schaffen Sie unnötige Anmeldeinformationen ab, auch für FTP, wp-admin und SSH.
  8. Sie müssen keine Beiträge als Administrator schreiben, und nicht jeder muss ein Administrator sein.
  9. Wenn Sie nicht wissen, was Sie tun, nutzen Sie einen verwalteten WordPress-Hosting-Anbieter.
  10. IP-Filterung + Zwei-Faktor-Authentifizierung + Starke Anmeldedaten = Sicherer Zugang

Tonys nützlichste Sicherheits-Plugins

  • Sucuri Sitecheck Malware Scanner Dieses Plugin von Tony und der Sucuri-Crew ermöglicht einen vollständigen Malware- und Blacklist-Scan in Ihrem WordPress-Dashboard und beinhaltet eine leistungsstarke Web Application Firewall (WAF).
  • Anmeldeversuche begrenzen Begrenzt die Anzahl der Anmeldeversuche, die sowohl über die normale Anmeldung als auch über die Verwendung von Auth-Cookies möglich sind.
  • Zwei-Faktor-Authentifizierung Dieses Plugin aktiviert die Zwei-Faktor-Authentifizierung von Duo, die einen Dienst wie einen Telefonrückruf oder eine SMS-Nachricht verwendet.
  • Theme-Check Testen Sie Ihr Theme, um sicherzustellen, dass es den Standards der Theme-Überprüfung entspricht.
  • Plugin-Check Tut das, was Theme-Check tut, aber für Plugins.

Sicherheits-Tools

  • Sucuri SiteCheck
  • Unmask Parasites scanner

Sicherheits-Ressourcen

  • Sucuri Blog
  • Webseitensicherheit bei Perishable Press
  • Unmask Parasites Blog
  • Badware Busters
  • WPsecure
  • Sperren von WordPress, Michael Pick

Nützliche Sicherheitsartikel

  • „10 nützliche WordPress-Sicherheits-Tweaks“, Jean-Baptiste Jung
  • „10 Schritte zur Sicherung Ihrer WordPress-Installation“, Fouad Matin
  • „Google Blacklist-Warnungen: Irgendetwas stimmt hier nicht“, Tony Perez
  • „WordPress absichern“, WordPress Codex
  • „Wie Sie den Hacker stoppen und sicherstellen, dass Ihre Website gesperrt ist“, Tony Perez
  • „Entfernen von Website-Malware: WordPress Tipps und Tricks“, Tony Perez
(al)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.