Blog gehackt und umgeleitet

Der Schreck sitzt tief. Nach Aufruf der gewohn­ten Blog-Url ver­sucht der Brows­er plöt­zlich eine andere Seite zu öff­nen. Auch der Zugriff auf den Login ist nicht mehr möglich. Auch hier wird plöt­zlich eine andere Webadresse geöffnet.

Wir haben nicht her­aus­ge­fun­den, wie es wem gelun­gen ist, den Blog zu hack­en. War es ein Plu­g­in oder wurde direkt unser Host attack­iert? Es gab allerd­ings auf­fäl­lig viele Zugriffe aus Rus­s­land, so dass sich vielle­icht ein paar Hob­by-Hack­er an dem Blog ver­sucht haben.

Die Angriff­sziele waren allerd­ings gar nicht wie zuerst von uns ver­mutet die Word­press Dateien. Zuerst hat­ten wir dort nach Manip­u­la­tio­nen gesucht, aber nichts gefun­den. (Hier ist ganz wichtig: Wenn möglich ein Back­up machen!). Das FTP-Pro­gramm und die Word­Press-Instal­la­tion kon­nte in diesem Fall unbeachtet gelassen wer­den.

PHP-Datenbank

In unserem Fall wurde die PHP-Daten­bank gehackt und die dor­ti­gen Ein­träge manip­uliert. Es wurde nicht nur eine Umleitung ein­gerichtet, son­dern auch neue User angelegt. Bei­des ist über Ein­träge in der PHP-Daten­bank möglich.

Word­Press schreibt diverse Ein­träge in die Daten­bank, die gern Ziel von Hack­ern sind. Über den Web­host kann auf die Daten­bank und deren Ein­träge zuge­grif­f­en wer­den. Wie dies funk­tion­iert, hängt vom jew­eili­gen Hoster ab. Der Blog­ger wird diese Funk­tion allerd­ings ken­nen, denn für den Blog musste eine Daten­bank angelegt wer­den. Genau in diesem Bere­ich find­et sich auch eine Option, die Daten­bank zu ver­wal­ten.

Datenbank Bereinigung

Über die Daten­bankver­wal­tung des Hosters wird also “phpMyAd­min” ges­tartet. Dort muss die Tabelle “wp_options” gesucht wer­den. (Hin­weis “wp_” ist der Pre­fix, den man bei der Word­Press-Instal­la­tion gewählt hat und kann entsprechend abwe­ichen.) In der Spalte “option_id” sucht man den Ein­trag mit der Num­mer 1, der die “option_name” “siteurl” tra­gen sollte. Unter “option_value” sollte die eigene Blog-Url angegeben sein. Wenn hier eine fremde URL einge­tra­gen ist, so ist der Fehler gefun­den. Über die Bear­beit­en-Funk­tion kann der Ein­trag direkt bear­beit­et wer­den.

Die Tabelle “wp_users” gibt Auf­schluss, ob neue User angelegt wur­den, um den Blog zu diskred­i­tieren. Ist dies der Fall, kön­nen die User direkt in der Daten­bank gelöscht wer­den.

Passwort

Zum Schluss sollte noch das Pass­wort für die Daten­bank geän­dert wer­den. In unserem Fall wurde tat­säch­lich während der Daten­bankbere­ini­gung schon wieder auf diese zuge­grif­f­en und eine neue Umleitung ein­gerichtet. Ganz schön dreist!

Zum Ändern des Pass­worts muss beim Hoster ein neues Pass­wort geset­zt und anschließend die Kon­fig­u­ra­tions­datei wp_config.php angepasst wer­den. Es sollte beachtet wer­den, dass der Blog kurzfristig nicht zu erre­ichen ist. Allerd­ings wurde die Erre­ich­barkeit angesichts des Hacks sowieso schon stark beein­trächtigt.

Anschließend sollte alles wieder wie vorher funk­tion­ieren.


Wer­bung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert