Als ich gestern Abend durch langeweile ein Nebenprojekt in den SERPS (Google Suchergebnissen) suchte, und von da auf die Seite gelangen wollte, traf mich fast der Schlag. Eine rote große Anzeige warnte mich davor die Seite zu besuchen:

Als attackierend gemeldete Webseite

Ein Blick auf die Seite brachte erstmal keine Lösung – per Direktaufruf gab es keine Probleme. Was war also geschehen?

Problemanalyse

Auffälliges konnte ich auf der Seite, im WordPress Adminpanel und auf den Unterseiten nicht finden. Nur wenn ich von Google auf meine Seite zugreifen wollte, wurde ich direkt auf die dubiose Seite https://namesti.bee.pl/weitergeleitet. Als ich mir den Quelltext der index.php anschaute (und wie sich später rausstellte – JEDE weitere php Datei), wurde in der ersten Zeile ein verschlüsselter Schadcode zur Weiterleitung von allen Google Besuchern eingerichtet.

Schadcode

Hier ein Beispielcode – falls ihr ähnliche Codeschnipsel in euren WordPressdateien findet, könnt ihr davon ausgehen dass hier etwas faul ist.

<?php eval(base64_decode("ID8+PD9wdseV....")); ?>

Webseite durchchecken

Um ganz sicher zu gehen, benutze ich das Freeware Tool Sucuri SiteCheck – einfach die URL der Seite eingeben und auf „Scan Website“ klicken. Der Report spuckte mir die Realität vor Augen – Site Malwared!!! Zum Vergleich, ein guter Report sollte so aussehen:

Gegenmaßnahmen

Dank dem Abakus Forum fand ich folgenden Beitrag, der mir wenig Hoffnung machte alles schnell zu säubern. Um es kurz zu fassen – eine Säuberungsaktion ist ineffizient und unnötig – es hilft leider nur ein Start von NULL.

Daten löschen

Da man sich einfach nicht sicher sein kann, welche Daten jetzt genau betroffen sind (dank Antivir weiss ich dass es genau 137 waren…), habe ich alles bis auf letzte komplett gelöscht, und ein Datenbackup von vor 2 Monaten eingespielt. Die Datenbank habe ich stehen lassen, dazu jedoch gleich mehr

WordPress Updaten

Als aller erstes habe ich WordPress per Autoupdate auf die neuste Version gebracht. Bevor ich die Plugins Updaten wollte, habe ich alle inaktiven und unnötigen Plugins (circa 9 Stück) direkt gelöscht. Danach auch diese aktuallisiert.

Sucuri Scanner

Den Sucuri Scanner gibt es als WordPress Plugin mit 2 großen Funktionen – einmal den direkten Check in WordPress auf Malware (jetzt zum Glück wieder alles grün)  und das 1-click Hardening was einem hilft seine WordPress Installation abzusichern.

Sonstige Sicherheitsaktionen

Außerdem führte ich noch folgende Schritte zur Sicherheitsoptimierung durch

• Löschung des „Standard Admin“ Accounts (admin)
• Änderung der Datenbankstruktur (wp_)
• Änderung des Userpassworts für alle Administratoren
• Änderung des FTP Username und Passworts
• Installation eines Database Backup Tools für WordPress
• Sicherung des gesamten Webspaces

Schlusswort

Ich bin mir leider immernoch nicht sicher, wie der Schadcode in die Seite gelangt ist. Entweder war das Passwort des Admins zu einfach, eine WordPress Sicherheitslücke wurde ausgenutzt, ein Plugin war/ist schädlich oder hatte/hat eine Sicherheitslücke, etc…..

Ich hoffe jedoch jetzt erstmal Ruhe zu haben und euch mit der Zusammenfassung ein bisschen Helfen zu können, und nie wieder „Als attackierend gemeldete Webseite“ gelistet zu werden =)