2017-11-09 2 Minuten

Was macht eigentlich ein WordPress Virus?

Wordpress ist eine wandelnde Zielscheibe. Es gibt Tools, die automatisiert Sicherheitslücken finden. Einmal gehackt, wird Spam versendet.

Na oida.

Dass das Internet böse ist, wissen wir ja schon. Und dass WordPress eine riesige Zielscheibe ist, wissen wir auch.

Auf fast allen WordPress-Seiten, die ich betreue, finden täglich automatisierte Versuche statt, die Seite zu hacken.

Das ist im Normalfall kein Problem, wenn die Passwörter passen, und auf Sicherheit geachtet wird.

Auf einer Seite in Entwicklung ist es uns jetzt passiert, dass ein Development-User mit ins Internet gespielt wurde – mit relativ schwachem Passwort.

Lange hat es nicht gedauert, und die Seite wurde angegriffen.

Aber warum machen die das?

Eine Webseite, die so übernommen wurde, kann bequem für verschiedenste Zwecke verwendet werden:

  • Versand von Spam
  • Ausspielen von Schadsoftware an alle Leute, die die Webseite besuchen
  • Weiterleiten auf Spam- oder Phishing Seiten

Uns ist glücklicherweise nichts davon passiert – wir konnten schnell genug einschreiten und es befanden sich keinerlei Kundendaten auf der Webseite. Alles in Allem außer einer Downtime nichts passiert. Trotzdem ärgerlich.

Ein Virus aus freier Wildbahn

Ich hatte die Ehre, die gesamte Seite händisch vom Virus zu befreien. Und ganz ehrlich – das war extrem interessant.

Ich hab viel darüber gelernt, wie Schadsoftware funktioniert, und was man dagegen tun kann.

Hier also ein Einblick, wie ein Virus für Webseiten funktioniert.

Verstecken

Was passt auf dem Bild oben nicht?

Richtig. Die team.php-Datei. Wie ich darauf gekommen bin? Auf der gesamten Webseite gibt es keine Vorstellung von irgendeinem Team.

Aber das ist typisches Verhalten eines Virus: in scheinbar harmlosen Dateien verstecken, sodass User und Programmierer, die sich weniger auskennen (also 80 % der Agenturen da draußen BUUUURN) auf den ersten Blick nichts Verdächtiges sehen.

Insgesamt hat sich der Virus in 95 Dateien eingenistet.

Verschleiern

Damit nicht sofort offensichtlich ist, was der Virus macht, wird dieser zusätzlich noch verschleiert. Ich habe insgesamt über 5 Stunden gebraucht, alle Dateien des Virus zu entschlüsseln.

So sieht das in real life aus:

Dafuck.

So wird verdächtige Funktionalität versteckt. Der Teil oben macht nichts anderes, als die Fehlerprotokollierung auszuschalten – damit der Virus möglichst lang unentdeckt bleibt.

Das musst du jetzt weder lesen können, noch verstehen. Aber wenn du mal sowas in einer deiner Webseiten siehst, lass das jemanden checken.

Aber was kann der Virus?

Hat eine Weile gedauert, bis ich rausgefunden hab, was mit dem Ding alles möglich wäre.

Aber die kurze Antwort ist:

eigentlich fast alles.

  • Plugins installieren und löschen
  • Informationen auslesen
  • Auf die Datenbank zugreifen
  • E-Mails versenden
  • Die Webseite selbst bearbeiten

Warum das für dich relevant ist

Erstens: als x-te Erinnerung von mir, deine Passwörter doppelt und dreifach abzusichern und zu checken.

Und Zweitens als kleiner Einblick, damit du eventuell verdächtige Aktivitäten auf einer Webseite schneller erkennst.

Also: generell immer eine gesunde Skepsis an den Tag legen. Egal, ob es eine E-Mail ist, die dir sagt, dass du 50 Millionen Euro überweisen sollst oder ein nigerianischer Prinz ein Vermögen vererbt hat.

Ich jedenfalls werde mich im Sommer noch tiefer mit IT Security und Hacking befassen. Irgendwie spannend.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.