WordPress-Seite gehackt: Was nun?

Veröffentlicht am 10. April 2015
Veröffentlicht von Martin
Schlagwort Allgemein, Sicherheit, Wordpress

Eins vorweg: Das Thema gehackte Webseiten ist sehr umfangreich und komplex. Ich beschreibe hier nur einen speziellen Fall und erhebe keinerlei Anspruch darauf, das komplette Thema oder auch nur diesen Fall umfassend zu betrachten. Außerdem möchte ich klarstellen, dass ich in keinster Weise ein Experte in dieser Thematik bin. Trotzdem mag der Artikel vielleicht dem einen oder anderen helfen, der vor einem ähnlichen Problem steht.

Eine Nachricht vom Internet-Riesen

Am Anfang steht (bzw. stand in diesem Fall) eine Nachricht von Google, die in den Webmaster-Tools angezeigt bzw. per Mail verschickt wird:

Mutmaßliches Hacking: http://www.adressederseite.de/

Ihre Website wurde vermutlich gehackt.

Ein Hacker hat möglicherweise vorhandene Seiten auf Ihrer Website geändert oder Spam-Inhalte hinzugefügt. Wenn der Hacker Ihren Server so konfiguriert hat, dass Spam-Inhalte nur bestimmten Besuchern angezeigt werden, sehen Sie diese Probleme unter Umständen gar nicht. Um Besucher Ihrer Website zu schützen, werden die Seiten Ihrer Website in den Google-Suchergebnissen möglicherweise als gehackt markiert oder es wird eine ältere Version Ihrer Website angezeigt, auf der diese Probleme noch nicht auftreten.

Beispiel-URLs

  • http://www.adressederseite.de/images/super-sale-sdxc34.html
  • http://www.adressederseite.de/eine-unterseite/

 Ein „Nebeneffekt“ ist, dass die Seite in den Suchergebnissen mit dem Zusatz „Diese Website wurde möglicherweise gehackt.“ versehen wird. Das ist gelinde gesagt unschön.

Ein Blick in die Webmaster-Tools von Google (sofern man die Seite dort angemeldet hat) verrät, um welche Art von Hacking es sich vermutlich handelt. In unserem Beispiel handelt es sich um „URL eingeschleust“:

Sicherheitsprobleme

Wir könnten jetzt eine dieser aufgeführten Seiten aufrufen, und uns anschauen, wie das Schlamassel aussieht. Oder auch nicht. Denn es kann durchaus sein, dass der Bösewicht dort nicht „nur“ Spam untergebracht hat, sondern auch Schadsoftware, die sich dann auf unserem Computer einnisten könnte.

Es gilt, vor allem zwei Fragen zu klären:

  • Wie werden wir den Mist wieder los?
  • Wie ist es dem Hacker gelungen, in unsere Seite einzubrechen?

Eine Anlaufstelle für diese Themen ist beispielsweise Google: Der Konzern stellt umfangreiche Informationen zur Verfügung (unter anderem Videos, die zwar englisch gesprochen, aber optional deutsch untertitelt sind) die helfen können, mit dem Problem fertig zu werden.

Die Suche: Was passiert da?

Zunächst versuchen wir mal herauszufinden, wo genau der Schadcode versteckt ist. Und das ist nicht unbedingt eine triviale Aufgabe. Denn als ich beispielsweise versucht habe, die oben aufgeführte Datei super-sale-sdxc34.html auf dem Webserver zu suchen, fand ich erstmal… nichts. Auch das Verzeichnis /images existiert nicht. Es handelt sich also nicht um eine tatsächliche Datei, sondern sie wird auf irgend eine andere Art erzeugt.

Naheliegend wäre vielleicht irgendeine Spielerei in einer .htaccess. Die waren aber alle sauber. Also muss die Quelle des Übels irgendwo anders liegen. Auch ein erster Blick auf die restliche Verzeichnis- und Dateistruktur verriet nichts ungewöhnliches. Also zum nächsten Schritt: Wir schauen uns mal an, welche Dateien in der letzten Zeit geändert worden sind. Und siehe da: Die Datei load.php im Verzeichnis /wp-includes hat ein anderes Änderungsdatum als die übrigen Dateien. Und das ist bei einer WordPress-Systemdatei sehr ungewöhnlich.

Dateidetails

Also: Öffnen wir die load.php und schauen wir uns den Inhalt mal näher an. Bei über 800 Zeilen ist das aber leichter gesagt als getan. Kein Problem: Wir nehmen eine korrekte Version der Datei aus einer anderen Installation und vergleichen die beiden Dateien. Zunächst fällt einmal auf, dass sie eine unterschiedliche Größe haben – 861 Zeilen die vermeintlich infizierte, 828 die saubere Version.

Die Dateien jetzt mühsam Zeile für Zeile miteinander zu vergleichen ist eine Möglichkeit. Eine andere, das automatisch erledigen zu lassen. Wer z. B. mit Windows 7 arbeitet, kann auf das Kommandozeilentool fc zurückgreifen. Die Verwendung ist einfach:

fc load.php load_sauber.php > vergleich.txt

Damit vergleicht das Tool die beiden Dateien und gibt Unterschiede in der Datei vergleich.txt aus.

Ein Blick in die Ergebnisdatei zeigt, dass der Bösewicht eine Funktion in die Datei eingebaut hat, die grob gesagt eine entsprechende URL zusammenbaut und den Inhalt einer externen Seite lädt, um diesen dann anzuzeigen. Die Details erspare ich mir hier. Das akute Problem können wir nun jedenfalls einfach beheben, indem wir eine saubere load.php auf den Server laden. Dann ist der Spam-Spuk vorbei.

Zumindest für den Moment. Denn die eigentlich Lücke, die der Hacker genutzt hat, um die Datei überhaupt zu modifizieren, haben wir ja noch nicht gefunden. Und so lange diese weiter besteht ist es nur eine Frage der Zeit, bis der ursprüngliche Hacker oder jemand anders diese wieder ausnutzt und das ganze Spiel – oder schlimmeres – wieder von vorne anfängt.

Lückensuche

Es geht also weiter: Wir müssen herausfinden, wie der Hacker bei uns eingebrochen ist. Es gibt prinzipiell verschiedene Wege, über die der Bösewicht Zugriff auf unseren Server erlangt haben könnte:

  1. Schwache Admin- oder FTP-Passwörter
    Dieser Punkt sollte sich von alleine erklären und ist am einfachsten zu beheben. Als einfachste Regel sollte gelten: Ein Passwort, was man ein einem Wörterbuch – egal welcher Sprache – findet, ist kein Passwort. Auch einfache Kombinaten davon (z. B. Zahlen oder sonstige Zeichen anhängen) sind keine gute Idee.
    Ein gutes Passwort ist nicht zu kurz und ist eine möglichst zufällige Kombination von Zahlen, Buchstaben und Sonderzeichen. Beispiele und Anregungen wie man sich auch solche Passwörter merken kann, findet man etwa hier oder hier.
    Und: Ein Passwort sollte auf keinen Fall bei mehreren Diensten gleichzeitig verwendet werden.
  2. Infizierung des Admin-PCs mit einem Virus, Keylogger, trojanischen Pferd o. ä.
    Auch dieser Punkt ist relativ einfach erläutert: Wenn auf dem PC, mit dem die Internetseite gepflegt wird, ein Schadprogramm z. B. sämtliche Tastatureingaben mitschneidet und an einen Hacker überträgt, dann nützt auch das beste Passwort nichts. Das der PC mit einem Antivirenprogramm ausgestattet sein sollte und für alle verwendeten Programme (vor allem Betriebssystem, Browser, Acrobat Reader etc.) die jeweils aktuellsten Updates eingespielt werden, sollte eine Selbstverständlichkeit sein.
  3. Ausnutzung einer Schwachstelle in WordPress (weil z. B. eine veraltete Version eingesetzt wurde)
    Dazu gibt es nur eins zu sagen: WordPress sollte auf dem neuesten Stand gehalten werden. Immer.
  4. Ausnutzung einer Schwachstelle in einem verwendeten Plugin
    Dasselbe gilt für verwendete Plugins: Steht ein Update zur Verfügung, sollte dieses zeitnah eingespielt werden. Nicht selten werden durch die Updates Sicherheitsprobleme behoben, die in dem Plugin schlummern.
  5. Theoretisch sind sicher auch noch andere Angriffsvarianten bzw. Schwachstellen beim verwendeten Hosting-Anbieter denkbar
    Das ist die fieseste Art der Gefährdung, weil der Nutzer selbst kaum Einfluss darauf hat. Bleibt zu hoffen, dass der Hosting-Anbieter im Fall eines Problems schnell reagiert und die Schwachstelle schließt, wo auch immer sie sich genau befindet.

Weitere Schritte

Wenn wir nun das eigentliche Problem beheben konnten sowie die Sicherheitslücke gefunden und geschlossen haben, müssen wir noch Google darauf hinweisen, dass mit unserer Seite alles wieder in Ordnung ist. Dafür gibt es in den Webmaster-Tools einen Link „Ich habe diese Probleme“ behoben und „Überprüfung beantragen“ (siehe erster Screenshot). Wir reichen damit die Seite zur Überprüfung ein. Ist diese abgeschlossen, wird der Hinweis in den Suchergebnissen, dass die Seite möglicherweise gehackt wurde, wieder entfernt. Das kann allerdings wie Google selbst schreibt, ein paar Wochen dauern.

Weitere Ressourcen

Wie anfangs erwähnt: Das Thema ist sehr komplex, und jeder Fall kann anders gelagert sein. Erste Anlaufstelle für eigene Recherchen können beispielsweise die folgenden Seiten sein:

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen