WordPress (WP) ist eines der beliebtesten Content Management Systeme. Es lässt sich leicht installieren und benutzen, einige Hoster bieten One-Klick-Installationen an, um auch Laien den Einsatz von WordPress zu ermöglichen. Je beliebter ein Programm, um so mehr steht es im Visier von Kriminellen. Nicht umsonst sind die Programme von Microsoft beliebte Ziele von Viren-Schreibern. Ist eine WordPress-Installation betroffen, bekommt der Anwender völlig unvermutet eine Warnung in seinem Browser angezeigt. Diese stammt vom Browser selbst oder vom Anti-Viren-Programm, was den Zugriff verhindert.
Was tun, wenn meine WordPress-Installation einen Virus enthält?
In den meisten Fällen wurden Sie Opfer eines automatischen Angriffs. Täglich werden Schwachstellen in Software gefunden und auch ausgenutzt. Ein Skript hat eine Sicherheitslücke in ihrer WP-Installation gefunden oder auf dem Server ihres Hosters und automatisch Code in ihre wichtigsten Dateien geschrieben. Möglicherweise wurden Ihnen Dateien untergeschoben, die sogenannte Malware (Schadsoftware wie Viren, Trojaner, Würmer o.ä.) enthalten und/ oder weiterverbreiten. Wird im letzten Fall ihr Hoster darauf aufmerksam gemacht, so löscht er die Seiten. Wenn dies noch nicht passiert ist, so können Sie ihre Daten und Webseite jedoch noch retten. Sie benötigen dazu ein ftp-Programm und die ftp-Zugangsdaten bei ihrem Hoster. Da die Online-Gangster die Sache automatisiert haben, müssen Sie „nur“ nach Dateien suchen, die auf jeder Standard-Wordpress- Installation vorhanden sind. In diese wird dann eine unkenntlich gemachtes (obfuscated) Stück Code/ Script geschrieben. Hauptsächlich betroffen sind index.html oder index.php oder auch main.php. Vergleichen Sie zunächst die Erstellungs-/ Änderungsdaten, um zu sehen, ob diese in letzter Zeit geändert wurden. Laden Sie die Dateien herunter und öffnen Sie sie in einem Text-Editor! Auf keinen Fall dürfen die Dateien im Browser, im E-Mail-Programm oder einem anderem Programm was HTML-Code ausführt geöffnet werden. Zu Beginn der Datei finden Sie dann eine Zeichenkolonne, meist sehr lang ist und/oder über mehrere Zeilen geht.
Das sieht dann so aus:
PHNjcmlwdD5ldmFsKGZ1bmN0aW9uKHAsYSxjLGssZSxkKXtlPWZ1bmN0aW9uKGMpe3JldHVybihjPGE
Also sinnlos aneinander gereihte Zeichen: Zahlen, Buchstaben, Steuerzeichen, aber sehr viel länger.
Diese müssen sie nun löschen. Um Fehler zu vermeiden, sollten Sie die herunter gelandene Datei unter anderem Namen und Endung (bspw. alte-index-datei.txt) sichern. Die geänderte Datei laden Sie per ftp wieder auf den Server. Im besten Fall haben Sie den schädlichen Code-Schnipsel erwischt und erhalten keine Warnmeldung mehr beim Aufruf ihrer Internetseite. Im schlechteren Fall erhalten Sie eine Fehlermeldung, nichts geht mehr. Jetzt müssen Sie ein neue Kopie erstellen und diese erneut bearbeiten, weil Sie zuviel gelöscht haben. Wenn Sie sich unsicher sind was Sie gelöscht haben, versuchen Sie mit den nächsten Schritten Klarheit zu erlangen.
Analyse und Hilfe zum Wiederherstellen der WordPress-Installation
Escaping: Ist der Code verschleiert/ unkenntlich gemacht (obfuscated), so ist es für Laien schwer die schädlichen Teile des Scripts oder des HTML-Codes zu entfernen. Man bezeichnet diese Form der Unkenntlichmachung als Escaping Das Ergebnis sieht gruselig aus, ist es aber nicht. Meist finden Sie die Anweisung escape (siehe Beispiele im Link) und wissen dann worum es geht. Den unkenntliche Teil des Codes können Sie kopieren und weiter untersuchen. In meinem aktuellen Beispiel wurde der Code Base64 escaped, das können Sie online auflösen. Und erhalten dann eine fast lesbaren Programmcode
Aber es geht noch besser.
Code beautifying: Oft hilft es schon, zu versuchen den Code in lesbare Form zu bringen, um zu sehen was die Autoren bewirken wollen. Dabei helfen sogenannte Beautifier. In unserem Fall hilft http://jsbeautifier.org/. Kopieren Sie ihren Code-Schnipsel in das Formularfeld und klicken auf „Beautify JavaScript or HTML“
JavaScript online ausführen: Im letzten Schritt wollen wir prüfen, ob wir den richtigen JavaScript-Code ausgeschnitten haben und welche Funktion er hatte. Auch das geht online. Ob lesbar oder nicht, unser Code wandert zu http://writecodeonline.com/javascript/ und liefert dort:
Abhängig davon, was die Kriminellen planten sehen sie möglicherweise auch HTML-Code mit Adressen, iFrames o.ä.
Update:
Ein weiterer Hinweis wie automatisch verteilter Schadcode aussehen kann, findet sich im blog der Firma Websense.
Lamb & Byte 
Hinterlasse einen Kommentar