it-swarm.com.de

Überprüfen, ob ich einen WordPress-Hack vollständig entfernt habe?

Mein lustiger WordPress-Blog unter http://fakeplasticrock.com (mit WordPress 3.1.1) wurde gehackt - es zeigte auf jeder Seite einen <iframe> wie folgt:

<iframe src="http://evilsite.com/go/1"></iframe>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> 

Ich habe folgendes gemacht

  1. Upgrade auf 3.1.3 über das integrierte WordPress-Upgrade-System
  2. Installierte den Exploit Scanner (viele kritische Warnungen bei ungewöhnlichen Dateien) und AntiVirus (dies zeigte alles grün und sauber, also habe ich es deinstalliert und entfernt, nachdem es ausgeführt wurde)
  3. Geändertes MySQL Passwort.
  4. Alle WordPress-Benutzerpasswörter wurden geändert.
  5. Per FTP verbunden und das gesamte Dateisystem heruntergeladen (nicht groß, dies ist ein nur für WordPress freigegebener Linux-Host)
  6. Das Dateisystem wurde gegen eine offizielle Zip-Datei von WordPress 3.1.3 und entfernt oder überschrieben ausgetauscht.

Ich bin mir ziemlich sicher, dass

  • all Die Dateien auf der Festplatte sind offizielle WordPress 3.1.3-Dateien
  • auf der Festplatte befinden sich keine "zusätzlichen" Dateien außer meinem /theme, dem Exploit Scanner-Plugin (das ich gerade heruntergeladen habe), dem /uploads-Ordner und einer kleinen Handvoll anderer erwarteter Dateien. Mein anderes Plugin, wp-recaptcha, entspricht der aktuell offiziell heruntergeladenen Version.
  • Ich habe auch die .htaccess-Datei überprüft und nichts sieht dort falsch aus

wordpress 3.1.3 file compare in Beyond Compare

Ich habe die Datenbank nicht berührt , aber ich habe Mühe zu überlegen, wie etwas in der Datenbank bösartig sein könnte, ohne dass spezieller PHP Code funktioniert.

Mein WordPress-Blog scheint jetzt in Ordnung und hackfrei zu sein (glaube ich), aber gibt es noch etwas, das ich überprüfen sollte?

104
Jeff Atwood

Haben Sie den Exploit-Vektor identifiziert? Wenn nicht, lassen Sie sich möglicherweise für zukünftige Exploits offen.

Andere Dinge zu beachten:

  1. Ändern Sie die Benutzerpasswörter des WordPress-Administrators - erledigt
  2. Ändern Sie das Benutzerkennwort des Hosting-Kontos
  3. Ändern Sie FTP-Passwörter
  4. Ändern Sie das MySQL-Datenbank-Benutzerkennwort - erledigt
  5.  Ändern Sie das Präfix db table  
  6. Aktualisieren Sie Ihre wp-config nonces/salt
  7. Überprüfen Sie Ihre Verzeichnis/Dateiberechtigungen
  8. Zugriff auf das Durchsuchen von Verzeichnissen über .htaccess blockieren
  9. Gehen Sie alles im Hardening WordPress Codex-Eintrag durch
  10. Sehen Sie sich alles im FAQ My Site Was Hacked Codex-Eintrag an
79
Chip Bennett

Wenn Sie sich die Google Chrome-Meldung "Safe Browsing" ansehen, sehen Sie den ".cc iFrame-Hack", der in letzter Zeit eine Menge zu bieten scheint. Ich denke, 3.1.3 wird das beheben, aber überprüfen Sie Ihre index.php-Datei im Stammverzeichnis, wenn Ihre Site, dort traf es mich so lange, bis ALLES aktualisiert und Passwörter geändert wurden.

Es gibt einige sehr knifflige Sachen, die Leute mit Post- und Kommentar-Injektionen machen können. Sie können die folgenden Abfragen für Ihre Datenbank ausführen, um einige von ihnen zu finden. Ich habe den Rest meines "Trackings" gebloggt hier .

SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<?%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<?php%'
SELECT * FROM wp_comments WHERE comment_content LIKE '%<iframe%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '%<noscript%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '%display:%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '%<?%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '%<?php%'

Hoffe das hilft!

26
Dillie-O

Die Datenbank kann auch böswilligen Code enthalten: versteckte Benutzerkonten oder Werte, die ungeschützt gedruckt werden. Überprüfen Sie auch Ihr Upload-Verzeichnis auf Dateien, die nicht dorthin gehören.

Oh, und versuchen Sie zu verstehen, wie der Angreifer auf Ihre Website gelangt ist. Bei gemeinsam genutzten Konten handelt es sich häufig um den gesamten Server. Überprüfen Sie die anderen Websites auf dem Server für gehackte Blogs oder andere Seiten. Lesen Sie Ihr FTP-Protokoll. Wenn Sie nicht wissen, wie es passiert ist, können Sie die nächste Pause nicht verhindern.

20
fuxia

Tut mir leid, dass du gehackt wurdest - anscheinend hast du aber gute Arbeit geleistet!

Ihr Dateisystem klingt golden, ich würde nicht sagen, dass Sie hier noch etwas anderes tun können.

Ich würde denken, Exploit Scanner würde eine Warnung auslösen, wenn Skripte, Iframes, PHP (obwohl nur gefährlich, wenn sie ausgewertet werden) oder anderer ungewöhnlicher Code in Ihrer Datenbank gefunden werden.

Ich bin mir nicht sicher, ob es andere Tabellen als Posts und Kommentare überprüft. Vielleicht lohnt es sich, /wp-admin/options.php zu lesen, um einen kurzen Blick darauf zu werfen und festzustellen, ob Sie etwas Seltsames entdecken.

Ich würde auch Ihre Benutzertabelle in einem MySQL-Client überprüfen (Benutzer befinden sich möglicherweise in der Datenbank, sind jedoch im Administrator nicht sichtbar).

13
TheDeadMedic

Überprüfen Sie die Google Webmaster-Tools auf zwei Dinge:

  • stellen Sie sicher, dass Ihre Website nicht als gefährdet gekennzeichnet wurde, und fordern Sie gegebenenfalls eine erneute Überprüfung an
  • überprüfen Sie Ihre Website als Googlebot und stellen Sie sicher, dass kein Spam eingefügt wird, der nur für Googlebot sichtbar ist. Ein Beispiel hierfür ist der WP Pharma-Hack

Außerdem würde ich das Thema erneut implementieren oder es äußerst sorgfältig überprüfen. Einige Zeilen von PHP können die Kernfunktionen von PHP neu definieren, sodass sie schädlichen Code aus der Datenbank extrahieren, insbesondere die Schlüssel-/Wertspeichertabellen von wp_options

8
Jon Galloway

Durchsuchen Sie die Datenbank mit phpmyadmin nach "iframe" oder sichern Sie die Datenbank und durchsuchen Sie den Text.

Suchen Sie in der Benutzertabelle nach unsichtbaren Benutzern. Ich habe Benutzer in den Tabellen gesehen, die in WP Admin >> Users nicht angezeigt wurden.

Clean Options "WordPress Plugins zeigt an, was von alten und möglicherweise anfälligen Plugins in der Datenbank übrig ist.

In Ihrem Design fehlt auch das <head>-Tag. Ich überprüfe daher, ob Sie das Design bearbeitet haben, um fehlerhafte Links zu entfernen.

Und das Übliche: und So finden Sie eine Hintertür in einem gehackten WordPress und Härten von WordPress "WordPress Codex

6
markratledge

"Gibt es noch etwas, das ich überprüfen sollte?" Sie müssen Ihren Prozess untersuchen und herausfinden, wie Sie gehackt wurden (mit ziemlicher Sicherheit, weil Sie nicht rechtzeitig oder korrekt gepatcht haben) und das auch beheben, nicht nur die Symptome.

5
Tom Chiverton

Ich hatte einen sehr ähnlichen Hack, den ich auf einer meiner Client-Sites reparieren musste.

Es gab bösartige Skripte im Dateisystem (php base64_decode stuff). Die Tabellen "Posts" und "Comments" der Datenbank wurden jedoch kompromittiert, und der Iframe-Code wurde auch über diese Daten verteilt.

Ich würde zumindest ein paar Suchanfragen in der Datenbank durchführen, um sicherzugehen. :)

4
Eric Allison

Das ist mir einmal durch ein Leck im Medientempel passiert. Ich musste ein Plugin schreiben, um die Datenbank auf injizierte Links zu überprüfen. Sie können es ergreifen hier als Github Gist .

Es ist ziemlich benutzerfreundlich, verfügt über mehrere Schritte, die Feedback liefern und Ihre Datenbank erneut überprüfen, wenn Sie fertig sind.

Viel Glück!

4
kaiser

Überprüfen Sie Ihre Plugins! Bisher gab es in diesem Jahr 60 Exploit-Releases von .org-Plugins. Ich würde vermuten, dass die tatsächliche Anzahl viel höher ist, da niemand dies wirklich in Vollzeit tut.

Sie haben angegeben, dass Sie nur ein Plug-in haben, und dass es eine Sicherheitslücke hat (nicht sicher, wie lange es nicht verfügbar ist, und es ist möglicherweise nicht der Vektor).

wp-recaptcha-plugin
Der Exploit wurde veröffentlicht: 2011-03-18
Exploit-Version: 2.9.8

Der Autor gab an, dass er mit Version 3.0 neu geschrieben hat, der Sicherheitspatch wird jedoch nicht erwähnt.

http://www.wpsecure.net/2011/03/wp-recaptcha-plugin/

Änderungsprotokoll: http://wordpress.org/extend/plugins/wp-recaptcha/changelog/

3
Wyck

Ich benutze einen Cloud-Server und habe zufällige verrückte SSH-Portnummern ohne FTP. Passwörter sind extrem schwer zu hacken. Jeder Root-Zugriff wird vollständig verweigert. Ich bin damit einverstanden, dass WordPress nicht Ihr Schuldiger sein wird. Eine andere Sache, auf die Sie achten sollten, ist, dass FTP-Sitzungen nicht geschlossen werden, dass sich auf Ihrem PC ein Virus befindet (denken Sie daran, dass Sie eine Datei auf Ihre Site laden können und wer diese Datei lädt, kann denselben Virus bekommen) und dass Sie Ihre Passwörter nicht auf öffentlichen oder privaten Sites aufbewahren Aufstellungsorte berichtigen sie immer unten auf Papier nie auf einem Worddokument oder einem Notizblock.

Fragen Sie zuletzt Ihren Host, ob er kürzlich eine Sicherheitslücke hatte, da er eine Firewall einrichten sollte

2
xLRDxREVENGEx

Überprüfen Sie das Datum Ihrer Dateien. Keine Datei sollte Änderungsdaten haben, die neuer sind als Ihre letzte Bearbeitung/Installation!

Aber auch das kann man vortäuschen. Am sichersten ist es, alle Dateien mit den ursprünglichen Installationsdateien zu vergleichen (z. B. Hash-Vergleich).

2
powtac