Wie schon im letzten Beitrag angemerkt, haben mir Sozusagen-Fachkräfte meine WordPress-Installation gehackt. Die index.php und .htaccess wurden verändert und mit php-Schadcode überschrieben.
Es wurden infizierte Fehlerseiten (303, 304) aufgespielt, eine gefälschte, google-konforme sitemap (5,8 MB) im Ordner „mapssite“ mit unzähligen Links auf Shops erstellt und eine „admin-lib.php“ im Admin-Ordner zugefügt. Das waren die auffälligsten Veränderungen.Inzwischen war weberknecht.eu manchmal nicht mehr erreichbar und Google meckerte auch schon über nicht auffindbare Seiten. Auffällig war dabei das Wort „Cathedrallike“, das in allen beschädigten Dateien enthalten war. Zu finden war über Suchmaschinen dazu allerdings nichts.
Den (verschlüsselten) veränderten Dateicode kostenlos zu analysieren brachte nichts. Ich habe dann später festgestellt, daß es sich um Online-Shops aus dem asiatischen Raum handelte. Zum großen Teil jedenfalls.
Aktualisierung: G DATA, denen ich eine infizierte index.php geschickt habe, schrieben mir am 13.09., „Die eingesendete Datei „index.php“ wird derzeit von unseren Scannern erkannt als Script.Trojan.Obfus.EWW71I (Engine B).“
Belassen wir es hier dabei und danke an die Bochumer von G DATA .
Mittlerweile habe ich den Schaden behoben und der googlebot meckert auch nicht mehr. Was macht man also in so einem Fall? Nach zwei Reparaturversuchen war das Problem nämlich immer wieder neu da. Hier ist meine Vorgehensweise:
Anleitung
- Über FTP alle Dateien runterladen. Man kann dann auf dem PC noch mit dem Virenscanner rübergehen. Meist entdeckt der auch was, aber eben nur einen Teil.
- Datenbanken sichern, Passwörter speichern, weil die wp-config auch gelöscht werden muß.
- Seite vom Netz nehmen.
- FTP-Passwort erneuern, auch nicht wieder das alte für WordPress verwenden.
- Alle WordPress-Dateien (auch wp-config) bis auf den wp-content/upload-Ordner löschen.
- Zeit zum Aufräumen: Alte PHP-Scripte, Ordner und Überflüssiges (veraltetes Zeug) löschen.
- WordPress neu installieren.
- Schreibrechte für .htaccess entfernen (chmode 444), das Gleiche gilt für die WordPress-Dateien. Dazu lade ich mir aus dem Netz eine „chmode-test.php“ runter und in das Hauptverzeichnis hoch. Wenn die jetzt aufgerufen wird, kontrolliert diese Datei den chmode-Zustand und gibt Tips, welche WordPress-Ordner und -Dateien noch entschärft werden müssen.
Unbedingt die empfohlenen chmode-Werte einhalten und nicht übertreiben – sonst funktioniert nämlich gar nichts mehr.
Die FTP-Zugangsdaten habe ich aus Vorsicht auch nicht mehr in die wp-config geschrieben. Dafür gehen updates nicht mehr automatisch. Aber was macht man nicht alles für die Sicherheit?
Benutzen solltet ihr noch Schutz-Plugins gegen Malware, ein Antivirus oder komplette WordPress-Schutzpakete. Empfehlen möchte ich aber kein spezielles.
Das war es. Es hat mich schon ein paar Stunden Arbeit gekostet, aber 200 € für eine professionelle Untersuchung und Schadensbehebung, wollte ich nicht ausgeben. Außerdem habe ich für solche Spielereien genug Zeit. Mal abwarten, wie gut ich war.
Tja, Herr Weber, wenn das Paßwort „Susi“ lautet, darf man sich nicht wundern, wenn es jemand knackt und seine eigenen Inhalte auf den Webspace lädt. ;-)
Ich habe es jetzt auf „Susi1“ geändert. Scheint zu helfen.
