-Anzeige-
#ss#
-Anzeige-


Harte Tage, viel Arbeit und Manage-WP ist unschuldig, WordPress-Hack

Harte Tage, viel Arbeit und Manage-WP ist unschuldig, WordPress-Hack

Es begann vor einer Woche. Gegen 20 Uhr begann mein Weblog „fisch-aquaristik.de“ plötzlich hunderte von Spam-Mails auszusenden.
Mit albernen Absendernamen wie „diana-crown@fisch-aquaristik.de“ wurde für eine Pornoseite geworben. Glücklicherweise waren die Empfängernamen in den Mails ebenso blöd gewählt, sodaß 99% dieser Spam-Mails vom Mailer-Dämon als unzustellbar abgefangen wurden.

In Stuttgart machte sich unsere Mischung aus Mr. Spock und Scotty (Brain and Mechanic), Bernd Holzmüller, sofort ans Werk, um den Strom von Mails zu stoppen. In den Monitoring-Systemen sahen wir, daß vor allem das Plugin ManageWP (Worker), das eine externe Wartung von WordPress-Installationen ermöglicht, auf Hochtouren lief und die meiste Systemlast erzeugte. Durch das Löschen von Manage-WP konnte die Aussendung von Spam-Mails sofort gestoppt werden.
Logisch, daß wir zunächst dieses Plugin als Verursacher in Verdacht hatten.

Eine weitere Analyse der WordPress-Installation zeigte dann aber, daß das System mit Dutzenden von Schadcode-Dateien verseucht war. Wie diese genau ins System geraten sind, ist nicht mehr nachvollziehbar.
WordPress und dessen zahlreiche Plugins bieten vielfache Einfallmöglichkeiten, die meiner Meinung nach vor allem darin liegen, daß Plugins oft fröhlich „nach Hause telefonieren“ und immer eine kleine Tür offen lassen, um nach Feeds, Benachrichtigungen, neuen Versionen usw. zu suchen.
Die Schadcode-Dateien enthielten ausschließlich blödsinnige, zufällig gewählte und nicht ausführbare PHP-Codezeilen und trugen blödsinnige Namen wie beispielsweise away.php, coming.php oder line.php und waren im WP-Stammverzeichnis angesiedelt. Sie dienten offenbar nur dazu, von der Datei uerror-log.php abzulenken, die bei uns in diesem Fall den eigentlichen Schadcode enthielt. Wie es aussieht, lenkte der Benutzereingaben, insbesondere Passwörter und Usernamen der Autoren (nicht die Mailadressen etc. der Kommentatoren) an ein unbekanntes Ziel weiter.

Wir haben die betreffende WordPress-Installation sofort vom Netz genommen und komplett gelöscht.
Danach wurde die Datenbank auf Schadcode untersucht und vorsichtshalber (was man sowieso ab und zu tun sollte) haben wir alle überflüssigen Tabellen (oft Rückstände von alten Plugins etc.) gelöscht.
Danach wurde WordPress in einer geschützten Umgebung neu aufgespielt und viele Schwachstellen mit einer Sicherheitssoftware geschlossen. Erst dann ging fisch-aquaristik.de wieder ans Netz.
In diesem speziellen Fall hatte das Theme-Paket über eine Flash-Applikation schon vorher ungeheuer viele PNG-Dateien erzeugt, die etwa solche Namen trugen: ABSHHWJSUKAOKLKA778338AS.PNG.
So wurde auch das Layout-Paket bei der Komplettlöschung berücksichtigt und (vorläufig) durch ein Standard-Theme von WP ersetzt.

Der Arbeitsaufwand alleine hier betrug fast vier Stunden, zuzüglich der Zeit, die Bernd Holzmüller investiert hat.

Fisch-Aquaristik.de blieb daraufhin sauber, Kontrollen (manuell und via Check-Software) in kurzen Abständen ergaben, daß hier aufgrund der getroffenen Maßnahmen keine Infiltration mehr erfolgte.

Im nächsten Schritt sind wir dann alle WordPress-Installationen, die ich betreue, durchgegangen. Das sind nicht wenige, da ich über meine bekannten Blogs hinaus noch zahlreiche weitere kleinere Blogs habe und etliche Testinstallationen habe, in denen ich neue Themes und Plugins ausprobiere.
In immerhin zehn weiteren WP-Installationen konnten ebenfalls Schadcode-Dateien entdeckt werden. Allerdings hat keine einzige weitere Webseite Spam-Mails ausgesandt, sodaß sich der Eindruck verfestigte, daß wir Opfer und Ziel zweier getrennter Malware-Attacken geworden waren. Beide betrafen parallel Fisch-Aquaristik.de und profi1a.de, während alle anderen Installationen nur merkwürdige, nicht zum Umfang des WP-Paketes gehörende, Dateien enthielten.

In allen Installationen wiederholte sich das gleiche Spiel:

– vom Netz nehmen
– WP komplett löschen
– alle Plugins entfernen
– alle Themes entfernen
– Datenbank durchsuchen und säubern
– Datenbank optimieren und überflüssige Tabellen entfernen
– eine saubere WP-Version hochladen
– Schutzsoftware installieren und individuell konfigurieren
– Plugins wieder beschaffen und installieren
– Themes wieder beschaffen und installieren
– WordPress auf die neue Version 4.1 updaten
– BruteForce-Schutz einrichten
– Monitoring-System einrichten
– Testlauf in geschützer Umgebung
– Seite wieder ans Netz schalten

Alles in allem bedeutete das drei schlaflose Nächte und vier Tage Beschäftigung mit eigentlich unnötigem Krempel.

Wichtige Links zum Thema:

1. Spiegel Online über Soak-Soak-Attacke auf 100.000+ WP-Seiten. (Ob unsere vom Soak-Soak-Virus befallen waren, haben wir nicht untersucht, uns war egal, wie der Mist heißt.)
2. iThemes-Security-Plugin, unserer Meinung im Moment das A und O bei Sicherheit rund um WordPress.
3. Sucuri-Site-Check, Seite zum Überprüfen von Malware-Befall, Online-Ceck
4. Boilerplate htaccess Tricks zur Ausgrenzung von Attacken
5. WP-Optimize-Plugin zum Optimieren und Entrümpeln von WP-Datenbanken
6. WP-SpringClean zum Entfernen von Resten alter Plugins etc.
7. Brute Protect (via WP-Jetpack-Plugin)
8. CLEF, Einloggen mit Passwort wird abgeschaltet, stattdessen Login nur mit dem Smartphone durch Scannen des Bildschirms. Siehe hierzu auch nachfolgendes Video.

http://vimeo.com/103148853

Harte Tage, viel Arbeit und Manage-WP ist unschuldig, WordPress-HackHarte Tage, viel Arbeit und Manage-WP ist unschuldig, WordPress-Hack

Dir gefällt das? Schenke mir 1 Sekunde und unterstütze mich auf Patreon

Peter Wilhelm

Peter Wilhelm

Fachjournalist Peter Wilhelm schreibt hier über die Nebensächlichkeiten der Welt.
Er liebt Technik und testet Produkte, Service und Angebote.
Der Bestsellerautor ist Chefredakteur einer Branchenzeitschrift, Sachverständiger und Fernsehexperte.
Der Satiriker veröffentlicht seine Satiren hier und eine Kolumne hier.
Der Psychologe und Dozent wurde in der Halloweennacht geboren und lebt mit seiner Familie bei Heidelberg.
Mehr über ihn erfahren Sie u.a. hier und hier.


Alle Angaben nach bestem Wissen, keine Rechts- Steuer- oder Medizinberatung! Fragen Sie einen Fachmann!



peter wilhelm autorenlesung
-Anzeige-

Hinterlasse einen Kommentar

Du bist angemeldet als Peter Wilhelm | Jetzt abmelden?

Hinterlasse den ersten Kommentar!

Benachrichtige mich zu:
Peter Wilhelm
wpDiscuz
Lesen Sie weiter:
Nachtrag: Stromverbrauch iMac

In meinem Artikel von neulich über den Stromverbrauch vom iMac schrieb ich, daß der iMac...

Schließen