Blog gehackt und umgeleitet

Der Schreck sitzt tief. Nach Auf­ruf der gewohn­ten Blog-Url ver­sucht der Brow­ser plötz­lich eine ande­re Sei­te zu öff­nen. Auch der Zugriff auf den Log­in ist nicht mehr mög­lich. Auch hier wird plötz­lich eine ande­re Web­adres­se geöff­net.

Wir haben nicht her­aus­ge­fun­den, wie es wem gelun­gen ist, den Blog zu hacken. War es ein Plug­in oder wur­de direkt unser Host atta­ckiert? Es gab aller­dings auf­fäl­lig vie­le Zugrif­fe aus Russ­land, so dass sich viel­leicht ein paar Hob­by-Hacker an dem Blog ver­sucht haben.

Die Angriffs­zie­le waren aller­dings gar nicht wie zuerst von uns ver­mu­tet die Word­press Datei­en. Zuerst hat­ten wir dort nach Mani­pu­la­tio­nen gesucht, aber nichts gefun­den. (Hier ist ganz wich­tig: Wenn mög­lich ein Back­up machen!). Das FTP-Pro­gramm und die Word­Press-Instal­la­ti­on konn­te in die­sem Fall unbe­ach­tet gelas­sen wer­den.

PHP-Datenbank

In unse­rem Fall wur­de die PHP-Daten­bank gehackt und die dor­ti­gen Ein­trä­ge mani­pu­liert. Es wur­de nicht nur eine Umlei­tung ein­ge­rich­tet, son­dern auch neue User ange­legt. Bei­des ist über Ein­trä­ge in der PHP-Daten­bank mög­lich.

Word­Press schreibt diver­se Ein­trä­ge in die Daten­bank, die gern Ziel von Hackern sind. Über den Web­host kann auf die Daten­bank und deren Ein­trä­ge zuge­grif­fen wer­den. Wie dies funk­tio­niert, hängt vom jewei­li­gen Hos­ter ab. Der Blog­ger wird die­se Funk­ti­on aller­dings ken­nen, denn für den Blog muss­te eine Daten­bank ange­legt wer­den. Genau in die­sem Bereich fin­det sich auch eine Opti­on, die Daten­bank zu ver­wal­ten.

Datenbank Bereinigung

Über die Daten­bank­ver­wal­tung des Hos­ters wird also “phpMyAd­min” gestar­tet. Dort muss die Tabel­le “wp_options” gesucht wer­den. (Hin­weis “wp_” ist der Pre­fix, den man bei der Word­Press-Instal­la­ti­on gewählt hat und kann ent­spre­chend abwei­chen.) In der Spal­te “option_id” sucht man den Ein­trag mit der Num­mer 1, der die “option_name” “siteurl” tra­gen soll­te. Unter “option_value” soll­te die eige­ne Blog-Url ange­ge­ben sein. Wenn hier eine frem­de URL ein­ge­tra­gen ist, so ist der Feh­ler gefun­den. Über die Bear­bei­ten-Funk­ti­on kann der Ein­trag direkt bear­bei­tet wer­den.

Die Tabel­le “wp_users” gibt Auf­schluss, ob neue User ange­legt wur­den, um den Blog zu dis­kre­di­tie­ren. Ist dies der Fall, kön­nen die User direkt in der Daten­bank gelöscht wer­den.

Passwort

Zum Schluss soll­te noch das Pass­wort für die Daten­bank geän­dert wer­den. In unse­rem Fall wur­de tat­säch­lich wäh­rend der Daten­bank­be­rei­ni­gung schon wie­der auf die­se zuge­grif­fen und eine neue Umlei­tung ein­ge­rich­tet. Ganz schön dreist!

Zum Ändern des Pass­worts muss beim Hos­ter ein neu­es Pass­wort gesetzt und anschlie­ßend die Kon­fi­gu­ra­ti­ons­da­tei wp_config.php ange­passt wer­den. Es soll­te beach­tet wer­den, dass der Blog kurz­fris­tig nicht zu errei­chen ist. Aller­dings wur­de die Erreich­bar­keit ange­sichts des Hacks sowie­so schon stark beein­träch­tigt.

Anschlie­ßend soll­te alles wie­der wie vor­her funk­tio­nie­ren.

---