Chinesische Zeichen beim Aufruf der Webseite.
Aktuell bin ich dabei unsere Webseiten von Hosteurope zu All-Inkl umzuziehen. Aus Gründen.
Normal ist das kein Thema, Datenbank sichern und einspielen. Dateien rüberziehen und anschließend die Domain umziehen. Mit etwas Glück geht alles mehr oder weniger nur mit kurzen Unterbrechungen.
Chinesische Zeichen beim Aufruf der Webseite
Allerdings kam beim Aufruf der Webseite nur eine „Fehlermeldung“ und dazu noch jede Menge chinesische Zeichen. Gut, vielleicht irgendwas im Cache, da der Pfad der ausgeben wurde noch vom alten Webspace war. Vielleicht das Cache-Plugin dachte ich noch und versuchte den Admin-Bereich aufzurufen. Gleiches Ergebnis.
So langsam schwante mir der Verdacht, dass doch mehr dahinter steckt. Am Ende packte ich die Sachen noch in Deepl und ließ es übersetzen. Zwar nur Kauderwelsch, aber doch keine Zufallsdaten.
Kurzum, wir wurden wohl gehackt.
WordPress und die Probleme
WordPress ist ein zweischneidiges Schwert, einerseits lässt sich damit sehr leicht eine Webseite aufsetzen, birgt aber immer die Gefahr gehackt zu werden. Sicherheitslücken sind selten in WordPress, bzw. gibt es dann schnelle Updates. Aber die zahlreichen Plugins öffnen weitere Türen, weil man hier am Ende auch gar nicht mitbekommt, wenn ein Plugin nicht mehr weiterentwickelt wird.
Dazu kommt, dass wohl inzwischen 50% der Webseiten im Netz mit WordPress laufen, was WordPress damit zu einem schicken Ziel für Bots und Hacker macht.
Backup einspielen
Als erste Maßnahme habe ich ein Bier aufgemacht. Hast ja ein Backup dachte ich mir, zwar vom Januar, aber seit dem waren nicht so viele Änderungen. Trotzdem Notiz an mich öfter Backups machen und auch länger aufbewahren.
Dummerweise war das Backup auch bereits infiziert, gleiches Ergebnis. Der Hack lag damit also schon länger zurück.
Beginn der Fehlersuche
Also blieb nichts anderes übrig, als die Dateien manuell zu durchsuchen. Gar nicht so einfach, WordPress besteht aus einem Wust an Dateien. Ich habe mich fürs klassische Divide und Conquer entschieden. D.h. vom ersten Aufruf ausstehend „die“ Statements in den Code einzufügen, um zu schauen, an welcher Stelle die Sache abbricht und nur noch Unsinn ausgibt.
Irgendwann habe ich die Stelle gefunden, es wurde eine „db.php“ geöffnet. Diese lag im Ordner „wp-content“ und gehört da normal auch nicht hin. Dazu kam, dass diese versteckt war und über FTP gar nicht angezeigt wurde. Erst über SSH kam die Datei zum Vorschein.
Selbst über SSH war diese nicht lesbar. Über die Backup-Funktion konnte ich diese dann aber auslesen. Darin war kein PHP-Code enthalten, sondern der erste Teil der fehlerhaften Ausgabe, die Pfadangabe. Dies würde auch erklären, warum auf unserem alten Webspace alles noch lief, auf dem neuen dann aber kaputt ging.
Nach dem Löschen der Datei lief der Blog erstmal wieder und ich bin immerhin in das Admin-Menü gekommen.
Seltsame Benutzer
Hier ging die Fehlersuche natürlich weiter. Gibt es ggf. weitere Benutzer die angelegt worden sind? Es gab ein paar verdächtige Nutzer von WooCommerce, besonders verdächtig war der chinesische Benutzer. Diese habe ich dann entfernt. Inzwischen haben wir auch die Möglichkeit entfernt, für Nutzer während der Bestellung ein Konto anzulegen.
Scan der Dateien und veraltete Plugins
Obwohl die Seite nun funktionierte, wollte ich dennoch alles genauer überprüfen. Es gibt einige Security-Plugins für WordPress, ich habe dann mal WordFence getestet und die Dateien gescannt.
Viel kam nicht bei raus, aber immerhin wurden ein paar Plugins genannt, die veraltet und auch nicht mehr weiterentwickelt werden. Sehr gut möglich, dass diese Sicherheitslücken enthalten.
Die Basisversion ist hier immerhin kostenlos. Die meisten der Plugins wollen ordentlich Geld sehen, ist vermutlich ein guter Markt für solche Plugins, wie unser Hack auch wieder zeigt. Andere Plugins wie MalCare haben zwar auch irgendwas gefunden, wollten dann aber erstmal Kohle sehen.
Ersetzen von Plugins
Ich habe die Plugins dann rausgeworfen. Oft ist es reine Bequemlichkeit einfach ein Plugin zu verwenden, z.B. für die Darstellung von Tabs auf unserem Blog. Mit KI-Unterstützung habe ich das mit JavaScript und CSS kurzerhand nachgebaut.
Die anderen Plugins wurden als nicht so wichtig angesehen und ebenfalls entfernt.
Fazit
So richtig rausgefunden habe ich bisher nicht, wo und wie der Hack genau stattgefunden hat. Auch nicht ob er erfolgreich war. Anscheinend lief die Seite schon eine Weile in dem Modus und hat sich normal verhalten. Gut möglich, dass der Hack nicht funktioniert hat und stattdessen nur etwas kaputt gemacht hat.
Da der Link den „query-monitor“ erwähnt ist es gut möglich, dass darüber der Hack erfolgte. Ich hatte das Plugin schon vor einiger Zeit wieder entfernt.
Natürlich habe ich auch gleich die Passwörter zurückgesetzt.
Am Ende zeigt sich mal wieder, dass regelmäßig überprüft werden sollte, ob die Plugins noch weiterentwickelt werden. Still und heimlich werden diese aus dem WordPress-Verzeichnis entfernt und man läuft über Jahre mit den alten Dingern.
Das beste Plugin für WordPress ist am Ende kein Plugin. Nicht immer kommt man drum herum, aber auf viele Kleinigkeiten kann und sollte man verzichten.
