Wir sehen derzeit ständig Angriffe auf Websites, die von Kundenwebsites ausgehen. Gerade WordPress-Installationen werden zur Zeit offenbar gerne genutzt, um damit Brute-Force-Angriffe auf fremde Seiten zu fahren. Teilweise werden uns solche Angriffe auch über unseren Abuse-Kontakt von den Betreibern der Opferseiten gemeldet.
Attacken nerven, erzeugen aber auch echten Schaden
Dies sind Attacken natürlich sehr problematisch und müssen unterbunden werden, und zwar aus mehreren Gründen:
- Die Angriffe fressen sehr viele Ressourcen und schaden damit allen Kunden auf dem Server mit der gehackten WordPress-Installation
- Die Angriffe erzeugen Schaden auf fremden Systemen.
Wie erkennt man verseuchte Installationen?
Für einen Webseitenbetreiber, der WordPress nutzt, ist es gar nicht so einfach zu erkennen, ab schädlicher Code eingeschleust worden ist. Zunächst verhalten sich die befallenen Installationen unauffällig und nichts geschieht. Es gibt zunächst nur einige Hinweise:
- Die Dateien, die man per FTP einsehen kann, tragen ein Modifikationsdatum, das nicht dem Datum entspricht, an dem Sie die Installation vorgenommen haben, sondern deutlich später.
- Im Kundencenter von goneo sehen Sie eine Liste von Dateien, die als potentiell schädlich benannt worden sind. Ist die Liste leer, ist dies leider kein zuverlässiger Beweis, dass Ihre WordPress-Site nicht gehackt wurde.
- Ihre WordPress Installation verhält sich merkwürdig und nicht so wie Sie es gewohnt sind.
- Die Webanalyse unter „Statistik“ im Kundencenter zeigt ungewöhnlich starke Outbound-Aktivität, also sehr viel Datenfluss vom Server hinaus ins Internet. In diesem Fall ist der Schadcode schon aktiv geworden.
Dies sind Indizien. Bevor Sie handeln, sollten Sie weitere Checks ausführen. Der Kundendienst von goneo kann Ihnen in begründeten Fällen helfen. Unter Umständen kommt unser Supportteam aber auch aktiv auf Sie zu, nachdem unsere Deep Scans Probleme ans Licht gebracht haben. Bitte ignorieren Sie die entsprechenden Mails von uns nicht.
Wir wissen, dass es sehr lästig und aufwendig sein kann, mit einer gehackten WordPress Installation umzugehen. Allerdings erfordert die Situation Ihre Mithilfe, da wir das Problem auf unserer Seite nicht alleine aus der Welt schaffen können. Alles, was wir tun können, ist den Zugriff aus dem Web und ins Web zu sperren. Sie erhalten, sollte Ihre Seite betroffen sein, eine Mail mit weiteren Hinweisen.
Vorbeugung
Natürlich ist es am besten, es gar nicht soweit kommen zu lassen. Daher:
- Installieren Sie jedes Update von WordPress
Kleinere Updates werden im Regelfall automatisch installiert, größere Updates bei denen der Kern der Anwendung verändert wird, benötigen Ihre Aufmerksamkeit. WordPress ist aber heute so update-robust, dass es im Regelfall keine Inkompatibilitäten mehr gibt. - Checken Sie die Plugins und nutzen Sie nur die aktuellste Version
Wenn Templates mit WordPress installiert wurden, kann WordPress auf neue Versionen hinweisen. Möglicherweise handelt es sich bei spezielleren oder exotischeren Plugins aber auch schon um abandon ware. In diesem Fall sollten Sie auf dieses nicht mehr weiterentwickelte Plugin verzichten. - Überprüfen Sie das Template
Auch in diesem Fall gilt, dass Sie nur die neuste Version einsetzen sollten. - Überprüfen Sie die Accountaktivität mit dem Menüpunkt „Statistik“ im Kundencenter.
- Erstellen Sie Backups.
Zu diesem Zweck gibt es Plugin, verlassen Sie sich aber bitte nicht ausschließlich auf diese und überprüfen Sie vor allem, ob tatsächlich Backups erstellt werden.
Was ist im Falle eines Hackingangriffs zu tun?
Sperren Sie den Zugriff auf die Seite, indem Sie beispielsweise die Domain umleiten und spielen Sie ein Backup ein, das Sie zuvor überprüft haben. Das ist der Grund, warum Sie immer ein Backup haben sollten. Heben Sie mehrere Updategenerationen auf. Vergessen Sie auf keinen Fall die Datenbankinhalte, denn dort liegt der eigentliche Wert Ihres Blogs, der Content.
Vergewissern Sie sich, dass Sie nicht wieder den Schadcode aus dem Backup einspielen.
Die Angriffsmuster, Ziele und Angriffswege sind sehr vielfältig. Daher können wir keine allgemeingültigen Signaturen nennen. Allen Erfahrungen nach wird es schwer werden, eine befallene produktiv eingesetzte Installation zu säubern. Wir sehen oft, dass der Schadcode in nahezu alle PHP-Dateien in diesen Account hineinkopiert wurde. Dabei haben wir Fälle gehabt, bei denen 32.000 PHP-Dateien mit einem Schadcode befallen wurden. Dies bekommen Sie manuell nicht mehr bereinigt.
Haben Sie kein Backup, sollten Sie versuchen, Ihre Inhalte zu retten. Diese befinden sich in der Datenbank, die Sie bei der Installation angegeben haben. Nutzen Sie z.B. MySQLDumper, um einen Dump, also ein Backup herzustellen. Überprüfen Sie die DB-Inhalte penibel genau, ehe Sie diese wieder produktiv einsetzen. Auch wenn man sich schwer vorstellen kann, dass ein Datenbankinhalt eine erneute Infektion einer frischen WordPress-Installation bewirken kann, wissen tut man es nicht.