Hacking reparieren

Was wir schon gemacht haben und was man wissen sollte

Durch Hacking infizierte Dateien bereinigen

23 Jul, 2015

Dies ist keine umfassende Anleitung bzw. Step-by-Step-Fahrplan was zu machen ist, sondern ein Erfahrungsbericht über das was wir umsetzen mußten.

1. Passwort ändern

Es kann leider gut sein, dass Ihr Passwort für den Webspace geknackt wurde. As erste Maßnahme, das Passwort für den FTP-Zugang ändern. Zunächst beim Hoster, dann im FTP-Programm.

 

2. Fehlermeldung analysieren

Meisten merken Sie nicht, dass Ihr Webspace infiziert wurde, weil der Hacker Ihre Internetseite benutzt um Spam oder sogar Phising-Seiten zu verbreiten. Irgendwann kann es dann sein, dass Sie z.B. über Google Webmaster Tools oder über Adobe (die betrügerische Downloadportale der einen Software überwachen) einen Hinweis, dass Ihr Internetauftritt geheckt wurde. Die infizierte Adresse kann dann so aussehen:

“…wir wurden mit Schreiben der Firma Adobe Systems Inc. darauf aufmerksam gemacht, dass die Inhalte Ihrer Webseite pa-marketing.eu/qin/projects/adobe-acrobat-3d-keygen-activation.html eine Markenrechtsverletzung aufweist.”

 

3. Dateien löschen

Jetzt haben wir also einen Hinweis darauf, welche Dateien und Verzeichnisse wir löschen müssen. Auf Ihrem Webspace sieht dass dann so aus, dass verschiedenen Ordner gleich über dem WordPress Ortdner angelegt wurden. Diese Ordner müssen gelöscht werden.

Manche lassen sich sofort löschen, manche nicht! Es kann also sein, dass sich in einem Unterordner noch eine .htaccess-Datei befindet, die von Ihrem FTP-Programm nicht angezeigt wird. Hier müsste Ihr FTP-Programm so eingestellt sein, dass auch versteckte Dateien und Ordner angezeigt werden. Bei Filezilla geht das über

Server -> Auflistung versteckter Dateien erzwingen

Sollten Sie ein anderes FTP-Programm verwenden, müssten Sie ggf. beim zuständigen Support erfragen, wie diese Einstellung vorzunehmen ist.

Alternativ ist es auch möglich, dass ggf. Dateien oder Ordner nicht genügend Rechte besitzen, damit Sie diese per FTP löschen.

Ordner sollten CHMOD 755 und Dateien CHMOD 644 haben, damit diese problemlos gelöscht werden können. Das geht dadurch, dass Sie im FTP auf dem Webspace mit der Rechten Maustaste auf den Ordner klicken und die entsprechenden Einstellungen (755) vornehmen. Dann werden pötzlich tausende von Dateien sichtbar. Wenn die Umstellung erfolgt ist, was einige Minuten dauern kann, können Sie das Verzeichnis löschen.

4. Auch der Hoster hilft!

Bei vielen Hostern werden identifizierte Dateien erkannt und isoliert. Bei 1und1 sind diese Dateien im Verzeichnis logs/forensic zu finden. So sieht so eine Liste aus:

################################################################################
## 1&1 Abteilung Abuse # Information ueber den Malware Angriff ##

################################################################################
## Liste der infizierten Dateien ##
################################################################################
~/pa-marketing/HackMist123/jscs.min.js
~/Zimmermann/ynou/jscs.min.js
~/Moelich/wp-includes/xmlrpc.php

################################################################################
## Liste der Hacker-Dateien ##
################################################################################
~/pa-marketing/wp-admin/theme-editor-plugin.php
~/Zauberblume/wp-admin/media-parse-new.php
~/existenzgruender/wp-admin/media-parse-new.php
~/abw/wp-admin/media-parse-new.php
~/Go_Inno/wp-admin/theme-editor-plugin.php
~/Becker/wp-admin/theme-editor-plugin.php
~/MHD/wp-admin/theme-editor-plugin.php
~/tinasbeauty/wp-admin/media-parse-new.php
~/pa-marketing/wp-admin/media-parse-new.php
~/Landschaftspflege/wp-admin/theme-editor-plugin.php
~/Becker/wp-admin/media-parse-new.php
~/abw/wp-admin/theme-editor-plugin.php
~/KZK/wp-content/plugins/revslider/temp/update_extract/revslider/tmpinstall.php
~/WP/wp-admin/theme-editor-plugin.php
~/MHD/wp-admin/media-parse-new.php
~/tinasbeauty/wp-admin/theme-editor-plugin.php
~/Lieber/wp-admin/media-parse-new.php
~/RolfBach/wp-admin/theme-editor-plugin.php
~/Lieber/wp-admin/theme-editor-plugin.php
~/Zauberblume/wp-admin/theme-editor-plugin.php
~/existenzgruender/wp-admin/theme-editor-plugin.php
~/akkureparatur/wp-admin/media-parse-new.php
~/Zimmermann/wp-admin/theme-editor-plugin.php
~/Zimmermann/wp-admin/media-parse-new.php
~/Landschaftspflege/wp-admin/media-parse-new.php
~/KZK/wp-admin/theme-editor-plugin.php
~/RolfBach/wp-admin/media-parse-new.php
~/WP/wp-admin/media-parse-new.php
~/akkureparatur/wp-admin/theme-editor-plugin.php
~/Go_Inno/wp-admin/media-parse-new.php

################################################################################

 

 

0 Comments
Leave a reply
Rückfragen, Kommentare, Änderungswünsche

Für Änderungswünsche und Anregungen stehe ich gerne zur Verfügung. Sie erreichen mich hier:

Handy: 0171 777 62 56

Em@il: arens@pa-marketing.eu oder

arens@kompetenzzentrum-kastellaun.de

Weitere Informationen
Kalender
Dezember 2019
M D M D F S S
« Okt    
 1
2345678
9101112131415
16171819202122
23242526272829
3031  
Visit Us On TwitterVisit Us On FacebookVisit Us On PinterestVisit Us On Youtube
Google+ Google+