WordPress-Site gehackt – leitet zu einer anderen Site weiter [closed]

Lesezeit: 8 Minuten

Benutzeravatar von nima
nein

Meine WordPress-Seite wurde gehackt. Links auf der Website wurden geändert, um Benutzer zur Website des Hackers unter storage.piterreceiver.ga zu führen. Diese Seite wiederum leitet auf andere Seiten weiter, die mein Browser als gefährlich kennzeichnet.

Ist das noch jemandem passiert? Wie kann ich meine Website wiederherstellen und ein erneutes Auftreten verhindern?

  • Die Lösung besteht darin, alle Ihre Dateien zu durchsuchen und die Tags zu entfernen. Sie sollten auch nach PHP-Dateien suchen, die nicht dazugehören. Es gibt keine schnelle Lösung.

    – Desinformation

    23. September 2021 um 14:57 Uhr

  • Bei einer meiner Sites wurden die Site und die Home-URL auf aktualisiert storage.piterreceiver.ga/gonext/?step=1 in der Datenbank. Ich konnte noch nicht herausfinden, wie es gemacht wurde. Wenn Sie also etwas finden, lassen Sie es mich wissen! Vielen Dank

    – Richard

    23. September 2021 um 21:01 Uhr

  • Bitte folgen Sie den Schritten, die ich am Ende geschrieben habe.

    – nima

    25. September 2021 um 15:32 Uhr

  • dazu gibt es 3 Support-Themen (leider auf deutsch: wordpress.org/support/topic/redirect-auf-malware-seiten & wordpress.org/support/topic/gehackt & wordpress.org/support/topic/weiterleitung-redirects), aber die Verwendung eines Übersetzungsdienstes kann hilfreich sein. – Es gibt sogar eine ZIP-Datei für ein manuelles Update, aber einige Leute bezweifeln, dass alles behoben ist und meiner Meinung nach sollte dies der Fall sein nicht auf einem Produktivsystem getestet werden.

    – DJCrashdummy

    27. September 2021 um 10:14 Uhr

  • @Richard hast du zufällig eines der Plugins auf dieser Liste? twitter.com/riper81/status/1441425259945545737?s=20

    – Willington Vega

    27. September 2021 um 19:47 Uhr

Wir haben das Verhalten auch auf mehreren unserer Seiten entdeckt, Schuld daran scheint das von legalweb.io angebotene DSGVO-Plugin zu sein.

Der Plugin-Entwickler wurde informiert und die beste Lösung bestand darin, die _options vom Malware-Code zu bereinigen und das Plugin zu deaktivieren.

  • Danke boidii, aber ich habe dieses Plugin nicht auf meiner Website installiert.

    – nima

    25. September 2021 um 15:40 Uhr

  • Es scheint, dass es andere Plugins mit Schwachstellen gibt, die mit dem Problem storage.piterreceiver.ga verknüpft sind: twitter.com/riper81/status/1441425259945545737?s=20

    – Willington Vega

    27. September 2021 um 19:46 Uhr

Benutzeravatar von David Koenig
David König

Dank @Jesmond Darmanin habe ich die Lösung gefunden, wie man das beheben kann. Er beschrieb, alle Vorkommen von “piterreceiver” in der Datenbank zu löschen. Sie können das auf diese Weise tun:

  1. Verbinden Sie sich mit SSH mit Ihrer WordPress-Instanz
  2. Gehen Sie in Ihr WordPress-Verzeichnis
  3. Ausführen wp db search --all-tables piterreceiver
  4. Ausführen wp db query <<< "delete from <table> where <id> = 123456"

Seien Sie vorsichtig, dies ist die “Brecheisen” -Methode. Tun Sie das nur, wenn Sie absolut sicher sind, dass der zurückgegebene Wert nicht mehr benötigt wird (was in meiner Installation der Fall war < Glückspilz).

Ich habe das gleiche auf einer meiner Seiten gefunden und konnte keine Malware in den Dateien identifizieren, jedoch wurden die “Site URL” und “Home” in der “_options”-Tabelle geändert und ich vermute, dass hier eine SQL-Injektion der Übeltäter war. Keines meiner Malware-Tools konnte irgendetwas auf Dateisystemebene identifizieren, daher scheint es sich um eine Art 0-Day-Exploit zu handeln, da ich nichts Ähnliches finden kann. Ich habe sichergestellt, dass alles auf dem neuesten Stand ist, und werde meine Website weiter überwachen, aber ein Ausgangspunkt wäre, festzustellen, ob es veraltete Plugins oder Designs gibt, die unter einer Schwachstelle leiden könnten, und wenn ja, dann wäre es eine schwierigere Aufgabe, zu identifizieren, welche . Ich schaue gerade meine Protokolle durch und werde diesen Thread aktualisieren, wenn ich etwas finde.

  • Danke Malin. Das ist bei mir genauso. Ich hatte alle Plugins am Morgen aktualisiert und Sicherheits-Plugins ausgeführt und die Server-Firewall verwaltet, also stimme ich zu, dass es sich um einen frühen Exploit handelt. Das einzige Plugin, das nicht auf dem neuesten Stand ist, da es keine Lizenz hat, ist YITH WooCommerce Uploads Premium. Ich nehme an, du hast das nicht? Vielleicht sollten wir eine Liste von Plugins vergleichen?

    – Richard

    24. September 2021 um 6:41 Uhr

  • Wie ich festgestellt habe, kann es mit verschiedenen Plugins passieren.

    – nima

    25. September 2021 um 15:41 Uhr

  • Hey @nima, ich habe es überprüft, da ich über 100 WordPress-Sites betreibe, und dieses Problem ist bei keinem aufgetreten, außer bei einem, auf das ich oben verwiesen habe. Es scheint nicht unbedingt eine Plugin-Schwachstelle zu sein.

    – Malin

    27. September 2021 um 8:13 Uhr

Benutzeravatar von Michael Brückner
Michael Brückner

Wir haben dieses Skript im WP DSGVO Tools (GDPR) Plugin von legalweb und in den Rewrite-Regeln von YOAST SEO gefunden. Aber nicht alle Systeme mit diesen Plugins sind beschädigt.

Betroffen sind vor allem Seiten, die in den letzten Tagen aktualisiert wurden.

EIN Sicherung der Datenbank ist ausreichend. Dennoch soll ermittelt werden, wie es zu dem Eingriff in die Seite kam.

Wir haben das gleiche Verhalten auf unseren Seiten gesehen und ich kann bestätigen, dass das DSGVO-Plugin der Übeltäter ist. Irgendwie wurden die Tracking-Codes von Matomo/Google Analytics mit der böswilligen Weiterleitung überschrieben.

Ich habe gerade mit legalweb gesprochen und sie haben bestätigt, dass dies das zugrunde liegende Problem ist – sie arbeiten an einem Update, wollten aber nicht mitteilen, wie der Angriff durchgeführt wurde. Das Deaktivieren des Plugins und das Suchen nach der Weiterleitungs-URL in der Datenbank löste das Problem.

  • Ich habe dieses Plugin oder andere von legalweb nicht installiert, bin mir nicht sicher, ob es sich um dasselbe Problem handelt. Hast du Woocommerce installiert? Das ist das gemeinsame Plugin, das ich zwischen Websites finde, die ich durchsucht habe, aber es ist so ein gemeinsames Plugin, dass es nur Zufall sein könnte.

    – Richard

    24. September 2021 um 10:12 Uhr

  • Wir verwenden Woocommerce nicht auf unseren Seiten, das war also nicht das Problem für uns. Sobald ich das DSGVO-Plugin deaktiviert hatte, konnte ich auf meine Seite zugreifen. Die Datenbanksuche war eine Vorsichtsmaßnahme, um sicherzustellen, dass dort nichts zurückbleibt.

    – phil8900

    24. September 2021 um 10:24 Uhr

  • Das klingt nicht nach dem gleichen Problem. Haben Sie überall die Domain storage.piterreceiver.ga/gonext/?step=1 gesehen? Ich bin mir nicht sicher, wie das Deaktivieren eines Plugins die Siteurl und die Homeurl wieder in ihren ursprünglichen Zustand zurückversetzen würde.

    – Richard

    24. September 2021 um 10:32 Uhr

  • Ich habe dieses Plugin nicht und wie ich festgestellt habe, könnte es durch alle Plugins oder Vorlagen passieren.

    – nima

    25. September 2021 um 15:34 Uhr

Benutzeravatar von Ralph Rathmann
Ralf Rathmann

Ich hatte das gleiche Problem auf meiner wp-Website.

Keine Dateien (.php et al.) waren betroffen (wie ich bisher sehen kann), aber ich habe in der Datenbank (wp)_options verschleierten Code in “sp_dsgvo_legal_web_texts” gefunden.

Das weist auf das Plugin „WP DSGVO TOOLS (GDPR)“ hin.

Da kein Login mehr möglich war, habe ich den Plugin-Unterordner gelöscht shapepress-dsgvo per sftp auf dem Server im Plugins-Verzeichnis.

Dann habe ich manuell jeden Datensatz in der Datenbanktabelle gelöscht:

LÖSCHEN VON wp_options WO option_name LIKE ‘sp_dsgvo%’

(evtl. müssen Sie das Tabellen-Präfix wp_ an Ihre Bedürfnisse anpassen)

Das offizielle WordPress-Plugin-Verzeichnis hat dieses Plugin am 20.09.21 blockiert, aber das hat keine Auswirkungen auf Ihre Installation, daher müssen Sie es manuell bereinigen.

Denken Sie daran, ein anderes DSGVO-Tool zu finden, aber im Moment freuen wir uns, eine Website zu haben, die wieder online ist.

  • Ich habe dieses Plugin oder andere von legalweb nicht installiert, bin mir nicht sicher, ob es sich um dasselbe Problem handelt. Hast du Woocommerce installiert? Das ist das gemeinsame Plugin, das ich zwischen Websites finde, die ich durchsucht habe, aber es ist so ein gemeinsames Plugin, dass es nur Zufall sein könnte.

    – Richard

    24. September 2021 um 10:12 Uhr

  • Wir verwenden Woocommerce nicht auf unseren Seiten, das war also nicht das Problem für uns. Sobald ich das DSGVO-Plugin deaktiviert hatte, konnte ich auf meine Seite zugreifen. Die Datenbanksuche war eine Vorsichtsmaßnahme, um sicherzustellen, dass dort nichts zurückbleibt.

    – phil8900

    24. September 2021 um 10:24 Uhr

  • Das klingt nicht nach dem gleichen Problem. Haben Sie überall die Domain storage.piterreceiver.ga/gonext/?step=1 gesehen? Ich bin mir nicht sicher, wie das Deaktivieren eines Plugins die Siteurl und die Homeurl wieder in ihren ursprünglichen Zustand zurückversetzen würde.

    – Richard

    24. September 2021 um 10:32 Uhr

  • Ich habe dieses Plugin nicht und wie ich festgestellt habe, könnte es durch alle Plugins oder Vorlagen passieren.

    – nima

    25. September 2021 um 15:34 Uhr

Schließlich finde ich die beste Lösung, und befolgen Sie bitte diese Schritte:

  1. Umbenennen wp-Inhalt Mappe.
  2. Create new wp-content ‘Vergessen Sie nicht die Berechtigung für diesen Ordner.
  3. Installieren Sie ein wp-Sicherheits-Plugin wie word fence Es wird empfohlen, aber Sie können installieren, was Sie wollen.
  4. Durchsuchen Sie die gesamte Website und Verzeichnisse mit diesem Plugin nach Malewares.
  5. Für weitere Versicherungen können Sie die Datenbank mit durchsuchen mysqldump -uUSER -pPASSWORD database --extended=FALSE | grep pattern
  6. Ändern oder löschen Sie die in Schritt 4 gefundenen Datensätze (in meinem Fall lag das Problem in der wp_options Tisch u siteurl und home wurde geändert).
  7. Installieren Sie eine saubere und frische Version Ihrer Vorlage.
  8. Kopieren Sie den alten Uploads-Ordner vom alten wp-content in den neuen.
  9. Und schon wird Ihre Website wieder lebendig.

Ich möchte mich nur bei @David Koenig und @Ralph Rathmann bedanken. Eure Antworten waren wirklich hilfreich.

und danke an die anderen für ihre Antworten und Anleitungen.

1396490cookie-checkWordPress-Site gehackt – leitet zu einer anderen Site weiter [closed]

This website is using cookies to improve the user-friendliness. You agree by using the website further.

Privacy policy