So erholen Sie sich von Malware-Hacks mit bösartiger Weiterleitung

Veröffentlicht: 2022-10-18

Eine der beliebtesten Taktiken böswilliger Angreifer besteht darin, einer Website böswillige Umleitungs-Malware hinzuzufügen, um den Datenverkehr auf eine andere Website zu lenken. Dies kann nicht nur für den Website-Eigentümer, sondern auch für Website-Besucher nachteilig sein. Eine böswillige Weiterleitung bringt einen ahnungslosen Website-Besucher oft zu Spam-Websites oder sogar zu Websites, die den Computer des Benutzers mit Malware infizieren könnten, die schwierig zu beseitigen ist.

In diesem Beitrag sprechen wir darüber, was böswillige Weiterleitungs-Malware ist, warum Hacker diese Taktik verwenden, wie Sie feststellen können, ob Ihre Website von dieser Malware betroffen ist oder nicht, und einige mögliche Lösungen zur Wiederherstellung Ihrer Website von den Auswirkungen bösartiger Weiterleitungs-Malware .

Außerdem skizzieren wir einige wichtige Schritte, um sicherzustellen, dass Ihre Website nach der Wiederherstellung geschützt bleibt.

Was ist bösartige Weiterleitungs-Malware?

Eine böswillige Weiterleitung ist Code, normalerweise Javascript, der in eine Website eingefügt wird, um den Website-Besucher auf eine andere Website umzuleiten. Oft wird diese bösartige Malware von Angreifern zu einer WordPress-Website hinzugefügt, um Werbeeinblendungen auf einer anderen Website zu generieren. Einige böswillige Weiterleitungen können jedoch schwerwiegendere Auswirkungen haben. Eine schwerwiegendere böswillige Weiterleitung kann potenzielle Schwachstellen auf dem Computer eines Website-Besuchers ausnutzen. Diese Art von Malware zielt darauf ab, Malware zu installieren, die einen PC mit bösartiger Malware infiziert, die für den Mac- oder Windows-Computer eines Benutzers sehr schädlich sein kann.

Feststellen, ob Ihre Website infiziert ist

Websitebesitzer wissen möglicherweise nicht, dass ihre Website umleitet. Häufig werden böswillige Weiterleitungen ausgeblendet, sodass nur nicht authentifizierte (nicht angemeldete Benutzer) weitergeleitet werden. Oder es erkennt den Browser, den der Benutzer beim Besuch der Website verwendet, und leitet nur mit diesem bestimmten Browser weiter. Wenn sie beispielsweise darauf abzielen, einen PC mit Malware auszunutzen, die nur anfällige Versionen von Chrome infizieren kann, werden nur diejenigen umgeleitet, die diese vom bösartigen Skript erkannte Version verwenden. Es kann einige Untersuchungen erfordern, um festzustellen, was los ist.

Ein Websitebesitzer könnte versuchen, die von einem Kunden gemeldete Weiterleitung zu replizieren, nur um festzustellen, dass auf seinem Computer für ihn alles in Ordnung aussieht. Website-Besucher auf mobilen Plattformen können gleichzeitig böswillige Aktivitäten erleben. Die Umleitung kann auf einigen Seiten erfolgen und auf anderen nicht. Oder es kann passieren, bevor die Website überhaupt geladen wird.

WordPress-Weiterleitungs-Hack

Warum wird meine WordPress-Site auf eine andere Site umgeleitet?

Wenn Ihre Website umleitet, gibt es einige Methoden, mit denen Angreifer eine Umleitung erstellen können. Natürlich können dies alles sehr gültige Wege sein, um eine Weiterleitung zu erstellen, aber in böswilligen Fällen sind dies definitiv nicht im besten Interesse des Website-Besuchers. Hier sind einige Methoden, mit denen Angreifer umleiten. Zu den primären Weiterleitungsmethoden gehören entweder eine .htaccess-Weiterleitung oder eine Javascript-Weiterleitung. In seltenen Fällen finden Sie möglicherweise einen HTTP-Header (z. B. META HTTP-EQUIV=REFRESH-Umleitung), aber diese sind selten. In vielen Fällen ist die Umleitung verschleiert, was bedeutet, dass Funktionen verwendet werden, um die wahre Absicht des Codes zu verbergen. Diese Verschleierung ist oft der erste Schlüssel dafür, dass etwas nicht stimmt, aber Angreifer setzen darauf, dass die meisten WordPress-Site-Besitzer von der Verschleierung eingeschüchtert werden und nicht tiefer graben wollen.

Wo genau befindet sich die Umleitungsinfektion?

Es gibt mehrere Bereiche, in denen Hacker ihren bösartigen Code einfügen, um einen WordPress-Umleitungs-Hack zu verursachen.

1. PHP-Dateien

Ein Angreifer kann Ihre Website infizieren, indem er Code in eine der WordPress-Kerndateien einfügt. Dies sind einige der Dateien, die möglicherweise den schädlichen Code enthalten, der Ihr Problem verursacht:

Angreifer können die Website infizieren, indem sie Code in eine der Kerndateien von WordPress einschleusen. Überprüfen Sie diese Dateien auf bösartigen Code. Wenn Sie sich nicht sicher sind, welcher Code bösartig ist und welcher nicht, können Sie die Dateien jederzeit mit bekannten guten Kopien des WordPress-Kerns oder Ihrer Design- und Plugin-Dateien vergleichen

  • index.php
  • wp-config.php
  • wp-settings.php
  • wp-load.php
  • .htaccess
  • Designdateien (wp-content/themes/{themeName}/)
    • header.php
    • Funktionen.php
    • footer.php

2. JavaScript-Dateien

Einige der Varianten von Weiterleitungs-Malware wirken sich auf alle JavaScript-Dateien (.js) auf Ihrer Website aus. Dies schließt die Javascript-Dateien in den Plugin-, Design-Ordnern und wp-includes ein.

Und normalerweise wird derselbe bösartige Code ganz oben oder ganz unten in jede JavaScript-Datei eingefügt.

3. Die .htaccess-Datei

Ihre .htaccess-Datei besteht aus einer Reihe von Anweisungen, die Ihrem Webserver mitteilen, was er tun soll, sobald er eine Anfrage von einem Website-Besucher erhält. Es greift vor PHP ein, vor allen Aufrufen Ihrer Datenbank, und es kann bestimmte „Umgebungsvariablen“ erkennen, die Ihrem Server ein wenig über das System mitteilen, auf dem sich ein Benutzer befindet, z. B. seinen Browser, den Computertyp und sogar die Anfrage für die Seiten Ihrer Website stammt von einem Suchmaschinen-Crawler.

Wenn Sie nicht wissen, wie eine normale WordPress-.htaccess-Datei aussieht, kann ein Großteil des Codes in .htaccess verwirrend sein. Und wenn Sie die .htaccess-Datei auf Ihre Festplatte herunterladen, um einen genaueren Blick darauf zu werfen, kann sie oft auf Ihnen verschwinden, da viele PCs diesen Dateityp als „versteckte Datei“ betrachten.

Der sehr verbreitete Pharma-Hack, bei dem bösartiger Code in die .htaccess-Datei eingefügt wird, leitet Website-Besucher oft nur dann weiter, wenn sie von einer Suchmaschinen-Ergebnisseite kommen.

Hacker platzieren ihren bösartigen Code so, dass Sie ihn in der Datei nicht finden können, es sei denn, Sie scrollen ganz nach rechts. Dies macht es viel schwieriger, diese Umleitungs-Hacks zu erkennen und zu entfernen.

3. Die WordPress-Datenbank

Die Tabellen wp_options und wp_posts sind normalerweise die Tabellen in einer WordPress-Datenbank, die von Hackern angegriffen werden, die böswillige Weiterleitungen einfügen. Javascript-Code ist in jeden Ihrer Beiträge oder sogar in alle eingebettet. Du kannst Umleitungen oft auch in deiner wp_options-Tabelle finden, wenn sie in Widgets versteckt sind.

4. Gefälschte favicon.ico-Dateien

Es existiert Malware, die auf dem Server Ihrer Website eine zufällige .ico-Datei oder eine betrügerische favicon.ico-Datei erstellt, die schädlichen PHP-Code enthält. Diese .ico-Dateien enthalten die schädliche Weiterleitung, die dann in eine andere Datei auf Ihrer Website eingefügt wird.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Schnelle Wiederherstellung nach einer böswilligen Weiterleitung

Wenn Sie von einem böswilligen Weiterleitungs-Hack betroffen sind, besteht der schnellste und einfachste Weg, sich von dieser Art von Malware zu erholen, in der Wiederherstellung aus einem bekanntermaßen guten Backup. Wenn Sie regelmäßig Backups Ihrer Website mit BackupBuddy erstellen, wissen Sie, dass Sie ein aktuelles Backup haben, das eine gute Kopie Ihrer Website enthält. Die Wiederherstellung Ihrer Website aus einem bekanntermaßen guten Backup ist eine hervorragende Möglichkeit, Ihre Website schnell wieder zum Laufen zu bringen.

Wenn Sie eine Website betreiben, deren Inhalt sich häufig ändert, ist die beste Verteidigung gegen eine böswillige Weiterleitung natürlich ein gutes aktuelles Backup und eine Angriffserkennung, damit Sie schnell auf ein Problem aufmerksam gemacht werden. So können Sie schnell handeln und Ausfallzeiten minimieren.

Natürlich müssen Sie sich dann auch Ihren Zugriffsprotokollen zuwenden, um festzustellen, wie der Hacker hereingekommen ist, um die Weiterleitung zu platzieren.

Ein Hinweis zu Add-on-Domains

Einer der häufigsten Wege, auf denen WordPress-Sites gehackt werden, sind nicht gepflegte Add-on-Domains oder zusätzliche Installationen von WordPress in Ihrem Hosting-Konto. Vielleicht haben Sie eine Testseite eingerichtet, um zu sehen, ob etwas im selben Konto funktioniert, und Sie haben diese Installation vergessen. Ein Hacker entdeckt es und nutzt Schwachstellen in der nicht gewarteten Website aus, um Malware auf Ihrer Hauptseite zu installieren. Oder vielleicht haben Sie die Website Ihres Familienmitglieds auch im selben Bereich gehostet, um Geld zu sparen, aber sie verwenden kompromittierte Passwörter wieder.

Es ist immer am besten, eine WordPress-Site in einem Hosting-Konto zu haben, oder wenn Sie mehrere Sites in demselben Hosting-Konto verwenden, stellen Sie sicher, dass sie voneinander isoliert sind, und verwenden Sie für jede Site einen anderen serverbasierten Benutzer. Auf diese Weise kann es nicht zu einer Kreuzkontamination von einer gefährdeten Stelle zu einer anderen benachbarten Stelle kommen.

Wenn Sie mehr als eine Site in Ihrem Hosting-Konto haben, müssen Sie alle Sites behandeln, die im selben Bereich laufen (z. B. alle Sites, die unter public_html laufen), als ob sie alle mit bösartiger Umleitungs-Malware verseucht wären. Wenn Sie einen solchen Fall haben, stellen Sie sicher, dass jeder dieser Schritte für jede der Sites innerhalb dieser Hosting-Instanz durchgeführt wird. Wenn Sie sich nicht sicher sind, wenden Sie sich an Ihren Hosting-Provider.

Durchsuchen Ihrer Website nach WordPress-Redirect-Hack-Malware

Wenn Sie kein aktuelles sauberes Backup haben, können Sie Malware trotzdem selbst entfernen. Dies kann ein langwieriger Prozess sein, und Sie müssen nach mehr suchen, als nur Malware umzuleiten. Am häufigsten wird Umleitungs-Malware von anderer Malware begleitet, darunter Backdoors und böswillige Admin-Benutzer, und Sie müssen auch feststellen, wie der Hacker eingedrungen ist, was oft als „Eindringungsvektor“ bezeichnet wird. Wenn Sie bei der Malware-Entfernung keinen ganzheitlichen Ansatz verfolgen, wird sichergestellt, dass das Umleitungsproblem erneut auftritt.

iThemes Security Pro verfügt über eine Funktion zur Erkennung von Dateiänderungen, die Sie benachrichtigt, wenn auf Ihrer Website Dateiänderungen auftreten, z. B. Änderungen, die auf einen Umleitungs-Hack oder Hintertüren hinweisen würden.

Hier ist unser empfohlener Malware-Entfernungsprozess.

1. Sichern Sie die Website

Ja, auch wenn die Website infiziert ist, möchten Sie die Beweise für das, was passiert ist, aufbewahren. Betrachten Sie jeden Hack als Tatort, und Sie werden wissen wollen, was passiert ist und wann. Dateizeitstempel sind bei Ihrer Untersuchung hilfreich, wenn Sie feststellen, wie das Eindringen passiert ist, damit Sie verhindern können, dass es erneut passiert.

2. Bestimmen Sie, ob Sie die Website herunterfahren müssen

Bei einer böswilligen Weiterleitung möchten Sie möglicherweise Ihre Website vorübergehend zur Wartung herunterfahren. Nicht alle Weiterleitungen würden dies rechtfertigen, aber wenn Ihre Website an einen Ort weiterleitet, der dem Computer eines Benutzers schaden könnte, würde das vorübergehende Herunterfahren der Website weiteren Schaden verhindern.

Wenn Sie glauben, dass der Hacker noch auf der Website aktiv ist (wenn Sie es nicht wissen, nehmen Sie an, dass er es ist), kann das Herunterfahren und Sperren der Website weiteren Schaden verhindern.

Jede Situation wird anders sein; Sie müssen diese Entscheidung basierend auf dem, was passiert, treffen.

3. Kopieren Sie die Site auf ein lokales Laufwerk

Bewahren Sie Ihr Backup auf und kopieren Sie die Site auf ein lokales Laufwerk. Wir empfehlen, eine Bereinigung auf einem lokalen Laufwerk mit einem Texteditor durchzuführen und alle Dateien – von Ihren PHP- und Javascript-Dateien bis zu Ihren .htaccess-Dateien – lokal zu vergleichen und zu überprüfen – in einer lokalen Situation, auf die für das Internet nicht zugegriffen werden kann. Auf diese Weise haben Sie eine kontrollierte Umgebung, um Dateien zu untersuchen. Sie können eine neue Kopie von WordPress, Ihrem Design und Ihren Plugins herunterladen und Dateivergleiche mit Ihrer gehackten Website durchführen, um zu sehen, welche Dateien geändert wurden und welche Dateien einfach nicht dazugehören. Es gibt zahlreiche Dateivergleichstools, die Sie verwenden können.

4. Entfernen Sie Umleitungen und versteckte Hintertüren

Während Sie Ihre Dateien durchsuchen, können Sie entweder Dateien mit Malware durch bekanntermaßen gute Kopien ersetzen oder, wenn Sie damit vertraut sind, die Dateien entfernen, die nicht vorhanden sein sollten (normalerweise Hintertüren) und die Codezeilen das sollte bei einem Texteditor nicht sein.

Überprüfe dein Verzeichnis /wp-content/uploads und alle Unterverzeichnisse auf PHP-Dateien, die dort nicht sein sollten.

Einige Dateien unterscheiden sich von allem, was Sie aus dem WordPress.org-Repository heruntergeladen haben. Diese Dateien beinhalten deine .htaccess-Datei und deine wp-config.php-Datei. Diese müssen genau auf fehlerhaften bösartigen Code untersucht werden. Beide können Weiterleitungen enthalten, und die Datei wp-config.php kann Hintertüren enthalten.

5. Laden Sie Ihre bereinigten Dateien auf Ihren Server hoch

Um alle Malware auf einmal zu löschen und den Zugriff auf Backdoors zu verhindern, die auf der gehackten Website aktiv waren, laden Sie Ihre bereinigte Website neben Ihrer gehackten Website hoch. Wenn sich Ihre gehackte Website beispielsweise unter /public_html/ befindet, laden Sie Ihre saubere Website daneben unter /public_html_clean/ hoch. Benennen Sie dort das Live-Verzeichnis /public_html/ in /public_html_hacked/ und das Verzeichnis /public_html_clean/ in public_html um. Dies dauert nur wenige Sekunden und minimiert die Ausfallzeit, wenn Sie sich entschieden haben, Ihre Site zu Beginn des Reinigungsvorgangs nicht herunterzufahren. Es verhindert auch, dass Sie versuchen, eine gehackte Live-Site, die angegriffen wird, zu säubern, indem Sie mit einem aktiven Angreifer „Whack-a-Mole“ spielen.

Nachdem die Dateien nun bereinigt sind, müssen Sie noch etwas tun. Überprüfe noch einmal, ob die Seite sowohl im Frontend als auch in wp-admin in Ordnung aussieht.

6. Suchen Sie nach böswilligen Admin-Benutzern

Suchen Sie nach böswilligen Administratoren, die Ihrer Website hinzugefügt wurden. Gehe zu wp-admin > users und überprüfe noch einmal, ob alle Admin-Benutzer gültig sind.

7. Ändern Sie alle Administratorkennwörter

Betrachten Sie alle Administratorkonten als kompromittiert und richten Sie neue Passwörter für alle ein.

8. Schutz vor böswilligen Registrierungen

Gehe zu wp-admin > Einstellungen > Allgemein und stelle sicher, dass die Einstellung für „Mitgliedschaft“ mit dem Namen „Jeder kann sich registrieren“ deaktiviert ist. Wenn Sie Benutzer registrieren müssen, stellen Sie sicher, dass die „Standardrolle für neue Benutzer“ nur auf Abonnent und nicht auf Admin oder Editor eingestellt ist.

9. Durchsuchen Sie die Datenbank nach schädlichen Links

Durchsuchen Sie Ihre WordPress-Datenbank manuell nach schädlichen PHP-Funktionen, ähnlich wie Sie es beim Auffinden von Problemen im Dateisystem getan haben. Melden Sie sich dazu bei PHPMyAdmin oder einem anderen Datenbankverwaltungstool an und wählen Sie die Datenbank aus, die Ihre Website verwendet.

Suchen Sie dann nach Begriffen wie:

  • Bewertung
  • Skript
  • Gzinflate
  • Base64_decode
  • Str_replace
  • preg_replace

Seien Sie nur äußerst vorsichtig, bevor Sie etwas in der Datenbank ändern. Selbst eine sehr kleine Änderung, wie das versehentliche Hinzufügen eines Leerzeichens, kann Ihre Website zum Absturz bringen oder verhindern, dass sie richtig geladen wird.

10. Sichern Sie die Website

Da ein Eindringen stattgefunden hat, müssen Sie davon ausgehen, dass alles, was mit Ihrer Website zu tun hat, kompromittiert wurde. Ändere dein Datenbankpasswort in deinem Hosting-Account-Panel und die Anmeldeinformationen in deiner wp-config.php-Datei, damit sich deine WordPress-Site bei deiner WordPress-Datenbank anmelden kann.

Ändern Sie auch Ihr SFTP/FTP-Passwort und sogar das Passwort für Ihr cPanel- oder Hosting-Konto.

11. Suchen Sie nach Problemen mit Google

Melden Sie sich bei Ihrer Google Search Console an und prüfen Sie, ob Sie Warnungen vor bösartigen Websites haben. Wenn dies der Fall ist, überprüfen Sie sie, um festzustellen, ob Ihre Korrekturen das Problem behoben haben. Wenn ja, fragen Sie nach einer Bewertung.

12. Installieren Sie die iThemes-Sicherheit

Wenn Sie iThemes Security noch nicht installiert und konfiguriert haben, ist jetzt der beste Zeitpunkt dafür. iThemes Security ist der beste Weg, um Ihre Website vor Eindringlingen zu schützen

13. Aktualisieren oder entfernen Sie anfällige Software

Wenn Sie Software, Themen, Plugins oder Cores haben, die aktualisiert werden müssen, aktualisieren Sie sie jetzt. Wenn ein von Ihnen verwendetes Plugin eine Schwachstelle aufweist, die nicht gepatcht wurde (Sie können dies mit iThemes Security überprüfen), deaktivieren Sie diese Software und entfernen Sie sie vollständig von Ihrer Website.

Wenn Sie Ihre Website gesperrt haben, können Sie an dieser Stelle die Wartungsbenachrichtigung entfernen, um Ihre Website wieder zugänglich zu machen.

Verhindern Sie ein weiteres Eindringen

Sobald Sie Ihre Website gesperrt und in Betrieb genommen haben, ist es wichtig, dass Sie Maßnahmen ergreifen, um ein erneutes Eindringen zu verhindern. Überprüfen Sie Ihre Protokolldateien, um zu sehen, wie das Eindringen überhaupt passiert ist. War es anfällige Software? War es ein kompromittiertes Admin-Benutzerkonto? War es eine Kreuzkontamination durch eine benachbarte, nicht gewartete WordPress-Installation? Wenn Sie wissen, wie es zu dem Einbruch gekommen ist, werden Sie darauf hingewiesen, dass Sie Maßnahmen ergreifen müssen, um zu verhindern, dass es in Zukunft noch einmal passiert.

Und die Verwendung von iThemes Security ist ein wichtiger erster Schritt, um Ihre Website sicher zu halten.

WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Angreifer gehen davon aus, dass WordPress-Benutzer weniger Sicherheitskenntnisse haben, also finden sie WordPress-Seiten, die nicht geschützt sind, und nutzen schlechte Passwörter, wiederverwendete Passwörter oder anfällige Software aus, um in ahnungslosen Hosting-Konten Fuß zu fassen.

Der DBIR-Bericht von Verizon für 2022 berichtet, dass über 80 % der Sicherheitsverletzungen gestohlenen Zugangsdaten zugeschrieben werden können und dass gestohlene Zugangsdaten als primärer Angriffsvektor gegenüber der Ausnutzung von Sicherheitslücken um 30 % gestiegen sind. Dies ist einer der Gründe, warum iThemes Security Innovationen für Benutzeranmeldeinformationen wie Passkeys und Zwei-Faktor-Authentifizierung priorisiert, um WordPress-Sites vor diesen Eindringlingen zu schützen.

Wenn Sie überhaupt etwas in diesem Artikel gesehen haben, hoffen wir, dass es wichtig ist, dass Sie die Sicherheit VOR einem Verstoß ernst nehmen. Mit nur wenigen Schritten können Sie unzählige Stunden Kopfschmerzen beim Überprüfen von Code ersparen. Verwenden Sie BackupBuddy, um die Wiederherstellung so viel einfacher zu machen und mit iThemes Security Pro vor unbefugtem Zugriff zu schützen.

Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress

WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Das iThemes Security Pro-Plug-in beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten im Team, der Ihre WordPress-Site ständig für Sie überwacht und schützt.

Holen Sie sich iThemes Security Pro