Wie Host Europe bei Malware im System reagiert.

In dieser Gruppe dreht sich alles um das CMS WordPress: Erfahrungsaustausch, Termine, Tipps und Know How für Anfänger und Fortgeschrittene
Antworten
r23
Beiträge: 2625
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Wie Host Europe bei Malware im System reagiert.

Beitrag von r23 »

Hallo,

wir betreuen über schnelle@blogrettung.de in der Regel WordPress Blogs, die gehackt wurden. In dieser Gruppe möchten wir einen Erfahrungsaustausch und Lösungswege aufzeigen - wie man reagieren sollte - und einen Einblick geben wie es hinter den Kulissen aussieht.

Unser Kunde läßt seinen WordPress bei Host Europe hosten. Das System von diesem Provider prüft augenscheinlich das System und sendet bei einem Befall eine Mail an den Inhaber.
Betreff: HostEurope: Webspace für Paket ... wurde gesperrt. Grund: ..............

**********************************************************************
** Bitte lassen Sie die Betreffzeile beim Antworten unverändert, um **
** die Zuordnung zum jeweiligen Fall zu ermöglichen. Vielen Dank! **
** Please do not change the subject when replying to this email. **
**********************************************************************


Sehr geehrte Kundin,
Sehr geehrter Kunde,

der Webzugriff auf Ihr Paket mit der ID/Bezeichnung ..... welches unter
der Kundennummer .......... verwaltet wird, wurde soeben durch uns gesperrt.
Es ist damit bis auf Weiteres nicht mehr ueber das Internet erreichbar.

Lese Sie die Mail aufmerksam und wenn Sie möchten, leiten Sie diese an uns weiter schnelle@blogrettung.de.

In der Mail finden Sie für die Spreeung einen Begründung
Begruendung: Malware in Ihrem Webspace
Kommentar: Es wurde Schadcode in Ihren Webspace eingeschleust, der
boesartige Prozesse auf dem Server gestartet hat. Leider ist unser
Sperr-Automatismus in diesem Fall nicht in der Lage die Infektion exakt zu
lokalisieren und sperrt den gesamten Webspace, wir bitten um Verstaendnis.

WICHTIG:
Es reicht NICHT aus, lediglich gefundenen Schadcode zu entfernen!
Es MUSS auch die veraltete, unsichere Software aktualisiert werden.
Ansonsten ist der naechste Einbruch nur eine Frage der (kurzen) Zeit.
Sollten Sie bereits die aktuelle Version Ihrer Anwendung nutzen, wurde der
Schadcode wahrscheinlich vor einem Update oder ueber eine Komponente/PlugIn
eingeschleust.
Man sollte in der Regel die Sicherheitslücke suchen und diese beseitigen. Der Provider bietet leider keinen Zugriff auf eine Log-Datei an . Zumindest habe ich noch bei keinem Kunden bei diesem Provider eine Log Datei gesehen. Da diese Information fehlt, gibt der Provider den Hinweis auf ein update.
* Was ist nun zu tun?
1. Eine von Ihnen installierte Software (Joomla/WordPress/ModX oder
Komponente) ist veraltet und muss upgedated werden.
Dies ist ein guter Zeitpunkt SAEMTLICHE von Ihnen installierte Software auf
etwaig vorhandene Updates zu pruefen und diese einzuspielen.

2. Identifizieren und entfernen Sie den eingeschleusten Schadcode.

[...]

Vgl. WordPress:
http://de.wikipedia.org/wiki/Wordpress

Pruefen Sie bitte auch die Aktualitaet von Templates und PlugIns,
insbesondere Timthumb, All-In-One SEO Pack, RevSlider und MailPoet
Newsletter (WordPress) ... werden haeufig
angegriffen.
Die typischen Sicherheitslücken werden Dir hier bereits genannt.
Zu 2.:
Bitte identifizieren und entfernen Sie den von Dritten hochgeladenen
Schadcode. Hochgeladene Dateien (erwuenschte wie auch Schadcode) gehoeren
dem Benutzer
...

Es muss von Ihnen eine Einzelfallpruefung vorgenommen werden, da wir nicht
entscheiden koennen, ob es sich um erwuenschten Code handelt.
Vertraue keiner Datei mehr auf deinem System.

WordPress hat folgenden Verzeichnisbaum

~/
~/wp-admin/
~/wp-content/
~/wp-oncludes/

Wenn dir die WordPress Version bekannt ist, kannst du die vorhandene einfach durch eine saubere Wordpress Version ersetzten. Hierfür
erstelltst du dir eine Sicherheitskopie deiner gehackten Installation.

Was solltest du nicht löschen?
~/.htaccess
~/wp-config.php
~/wp-content/plugins/
~/wp-content/themes/
~/wp-content/uploads/

Diese Dateien und Verzeichnisse musst du auf Schadecode prüfen.
In dem Verzeichnis haben PHP Scripte nichts verloren und solltest du löschen.
~/wp-content/uploads/

Bei unserem Kunden sah dies so aus
./wordpress/wp-content/uploads/2013/10/themes.php
./wordpress/wp-content/uploads/2013/12/header.php
./wordpress/wp-content/uploads/2012/07/system.php
./wordpress/wp-content/uploads/shadow/players/view.php
./wordpress/wp-content/uploads/2014/02/inc.php
./wordpress/wp-content/uploads/2014/title.php
./wordpress/wp-content/uploads/2015/01/test.php
./wordpress/wp-content/uploads/2015/03/blog.php
./wordpress/wp-content/uploads/2015/04/proxy.php
./wordpress/wp-content/uploads/2015/04/user.php
Wenn die PHP Scripte entfernt sind holen wir die Dateien und Verzeichnisse auf unseren Rechner und lassen aktuelle Virenscanner über die Dateien laufen. Es kommt sehr selten vor, dass wir eine JPG-Datei mit einem Schadecode finden.

die wp-config.php sollte den Vergleich mit wp-config-sample.php Standhalten. Ich vergleiche mit http://winmerge.org/?lang=de Winmerge Dateien.

Dies macht man auch mit der .htaccess.

Wenn Du keine original Wordpress .htaccess hast, kannst du diese über GitHub von uns erhalten
https://github.com/r23/MyOOS/tree/master/blog/wordpress

Hier eine typische .htaccess von WordPress

Code: Alles auswählen

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Neben der verwendeten WordPress Version benötigst du nun für den austausch auch die Plugins und das Template.

Das Verzeichnis
~/wp-content/
~/wp-content/cache/
~/wp-content/languages/
~/wp-content/plugins/
~/wp-content/themes/
~/wp-content/upgrade/
~/wp-content/uploads/
~/wp-content/index.php

Du kannst keiner Datei mehr trauen! Sollten in dem Verzeichnis PHP Scripte sein, lösche diese.
~/wp-content/cache/

Dieses Verzeichnis wird von unseren Cache Plugins verwendet. Einfach alles löschen.

~/wp-content/languages/

Diese Verzeichnis enthält die Sprachdateinen von WordPress. Einfach alles löschen.

~/wp-content/plugins/

Deine Plugins. Wenn du weitere Plugins dir installiert hast, musst du dir die Original Versionen downloaden.
https://wordpress.org/plugins/

Wenn du alle Plugins zusammenhast - lösche das Verzeichnis.

~/wp-content/themes/

Hier ist ein Template enthalten. hier sollte eine Standard Theme enthalten sein und deine aktuelle Theme mit einer evtl. Child -Theme
Themes, die du mal in der Vergangenheit ausprobiert hast solltest du löschen. Auch wenn die Theme nicht verwendet wird, kann diese leider Sicherheitslücken enthalten. Regel: alles, was du nicht mehr benötigst einfach löschen.

Von deinem Template benötigst du nur noch die Originalversion mit der Datensicherung aller Änderungen - selbstverständlich erstellt vor dem Angriff und sicher ohne Schadecode.

Wenn du die Quellen hast - kannst du das Verzeichnis ~/wp-content/themes/ löschen

~/wp-content/upgrade/

sollte leer sein und kann gelöscht werden

~/wp-content/uploads/

siehe ob.


Wenn alles Bereinigt ist kannst du mit FTP einfach alle Original Dateien hochladen. nach dem Login in den Dashboard von WordPress solltest du die notwendigen Updates durchführen.


Solltest du Probleme haben und dir sind diese Schritte zu kompliziert. Wende dich an unseren Support schnelle@blogrettung.de.

Ich freue mich hier auf einen Erfahrungsaustausch mit HostEurope und Malware in Ihrem Webspace

Beste Grüße

Ralf
Antworten