Gestern sah ich mir meine Webstatistiken an, die vom Webhoster automatisch angelegt werden. Dabei habe ich festgestellt, dass von einem Blog (nicht dieser hier) unglaublich viele Seitenaufrufe waren, mit denen ich überhaupt nichts anfangen konnte.
Die Url lautete sinngemäß: Meine Domain / blog/ uploads / Unterordner 2006 / und dann verschiedene Urls die immer etwas mit ugg oder ugg boots usw. hatten. Die Endung der Url lautete dann immer .php
Ich habe mir dann eine dieser Seiten angeschaut und die hieß tatsächlich wie von meiner Domain, aber zeigte eine WordPress Seite an, die nicht von mir stammte.
Dann habe ich per ftp auf meinem Webspace nachgesehen und es war in dem besagten Ordner Uploads / 2006 eine komplett fremde WordPress Installation drin.
Diese habe ich näher untersucht und festgestellt, dass diese noch weitere Plugins hatte, die in WordPress nichts zu suchen haben. Und zwar ein Tool, welches die XML-RPC Schnittstelle bearbeitet bzw. manipuliert, so dass ein Einfallstor entstand.
Desweiteren waren Tools dabei, die ein PHP Srcipt ausführen können, eines welches Webseiten umlenkt und eines mit Statistiken.
Das letzte Tool konnte ich nicht lesen, weil es verschlüsselt war.
Der Hacker hatte sogar eine Sitemap, mit unzähligen Urls zum gleichen Produkt angelegt.
Ich habe Kontakt mit dem Webhoster aufgenommen und dieser hat bestätigt, dass im Ordner Upload Dateien angelegt wurden, die durch ein Script verursacht wurden. Mit den Tipps des Providers habe ich dann per ftp mir die Rechte an diesen Dateien geholt. Denn diese hatte ich nicht, sondern ein anderer User.
Dieser andere User hatte sich aber nicht in meine Datenbank rein gehackt, sondern in seiner WordPress Installation war sogar eine wp-config.php mit seinen Daten. Sprich er hat seine eigene Datenbank verwendet.
Habe dann über Whois versucht herauszufinden, was für ein Server das ist. Aber das war ohne Ergebnis bzw. wird nicht angezeigt.
Nach dem ich, wie bereits erwähnt, die Rechte zu allen Dateien wiederhergestellt hatte, konnte ich alles löschen. Dazu habe ich die radikalste Methode gewählt und das Jahr 2006 komplett ausgelöscht.
Ein BackUp seiner Dateien war übrigens auch vorhanden. Dies war unter meine domain/ blog/ abag/ angelegt.
Letztendlich habe ich jetzt alles sauber bekommen. Teils neu installiert, teils Dinge vollständig gelöscht und mindestens 10 Stunden Arbeit reingesteckt.
Dazu gehörte aber auch das Thema WordPress besser absichern. Die XML-RPC Schnittselle habe ich deaktiviert mittels einer .htaccess Regel, dann habe ich eine weitere htaccess Regel eingespielt, die Scripte im Ordner Uploads unterbindet. Ich habe ein Sicherheitstool installiert, welches die WordPress Installation und Konfiguration prüft und bei Bedarf verändern kann. Ich lasse jetzt täglich feststellen, ob Dateien verändert wurden.
Alles Dinge, die WordPress von Hause aus nicht mitbringt. Ich hatte vorher nie vermutet, dass so etwas passieren könnte, weil es werkeln ja bereits andere Plugins in meinen Installationen, die der Sicherheit dienen.
Ich habe dann recherchiert, was dieser uggs überhaupt ist. Seitenweise findet man dann Ergebnisse, dass Webseiten gehackt wurden und auch Foren. Anfang des Jahres gab es Warnungen, dass ein bösartiges Script von denen auf Facebook wütet. Von gehackten WordPress Seiten habe ich nichts gefunden. Vielleicht ist das auch recht neu und noch nicht aufgefallen. Weil du merkst es einfach nicht, sondern erst wenn du deine Webstatistiken genau ansiehst und da etwas dabei ist, was von dir ist, aber du nie veröffentlicht hattest.