Webseite von Maleware befreit
Seit Jahren kämpft der Verein gegen Maleware auf der Webseite. Es war kein kritischer Schadcode, sondern nur Code der zur Weiterleitung auf irgendwelche Werbewebseiten führte. Mehrfach wurde in den vergangenen Jahren die Seite auf ein altes Backup zurückgespielt. Jedoch dauerte es lediglich Monate bis es erneut zu einem Durchbruch der Schadsoftware kam.
Recherchen (auch durch den ehemals befreundeten Nachbarverein) ergaben, dass man professionell die Seite bereinigen lassen könne für eine einmalige Gebühr von 200 Euro. Zusätzlich jedoch wurde empfohlen für weitere ca. 200 Euro zu einem vergünstigten Tarif eine professionelle Version eines Sicherheitsplugins zu erwerben (Wordfence).
Der Verein entschied sich jedoch vorerst dagegen, da danach auch nicht 100%ig sichergestellt ist, dass es dann zu keinen weiteren Angriffen kommt, zumal die Sicherheitsfirmen nicht genau benennen konnten, was genau sie bereinigen wollten.
Verschiedene konkrete Verbesserungsversuche wurden unternommen. Unter anderem wurden der Mitgliederbereich von einem Account-basierten in einen Passwort-basierten Zugang umgestellt. Mitglieder haben jetzt keinen Account mehr auf der Webseite, der bestimmte Rechte zur Folge hatte, sondern können mitgliederspezifische Informationen nur noch passwortgeschützt abrufen.
Es wurden verschiedene Sicherheitsplugins installiert.
Alle Bereiche die ein Eingabefeld erforderten wurden deaktiviert. Dazu zählten
- die Kommentarfunktion bei Beiträgen
- die Newsletteranmeldung
- das Gästebuch
- Der Loginbutton für die Mitglieder
- Captcha-Feld beim Administrator-Login
Leider haben all diese Dinge nicht dazu geführt, dass die Schadsoftware keine Auswirkung mehr hatte. Sie war wohl schon so tief in der Webseite vergraben.
Ein schrittweises Ersetzen einzelner php/css Bausteine mit denen aus einem älteren backup hat ebenfalls nicht zur Behebung des Problems geführt. Die Weiterleitungen waren immer noch vorhanden. Erst das Ersetzen der mySQL-Datenbank entfernte die Weiterleitung. Damit war klar, dass die Schadsoftware in der Datenbank lokalisiert war.
Ein Durchsuchen und bereinigen der beschädigten Datenbank überforderte aber die Kenntnisse unseres Webmasters.
Erst durch einen Zufall, der offenbar auch auf einer verbesserten Darstellung des Backends des WordPress Content Management Systems, auf dem die Webseite des Vereins basiert, beruhte, kam es dazu, dass unser Admin-C die Schadsoftware lokalisieren konnte.
In dieser visuellen Darstellung (quasi live-Vorschau der Beiträge und Seiten) waren vor jeder Zeichenkette „and“ ein kleines Mediensymbol eingeblendet. Nach einem Umschalten in die code-basiert Darstellung konnte man die hinter diesem Mediensymbol hinterlegten Java-Skript Informationen erkennen. Dort war dann auch erkennbar, dass es sich um eine Weiterleitung an irgendwelche kryptischen fremden Seiten handelte, da diese niemals vom Administrator eingefügt wurden.
Manuell konnten somit in der visuellen Darstellung all diese Mediensymbole (seltsamerweise immer vor „and“) manuell gelöscht werden. Nahezu in jeder Seite und jedem Beitrag waren bis zu 50 solcher Weiterleitungen vorhanden.
Schnell wurde klar, wenn alle dieser Mediensymbole auf einer Seite oder einem Beitrag gelöscht waren, die Weiterleitung nicht mehr vorhanden war.
Somit und nach manuellem Bereinigen der inzwischen auf eine Anzahl von ca. 140 Seiten und Beiträge angewachsenen Webseite waren anschließend keine Weiterleitungen mehr zu erkennen.
Außerdem wurde in der neuen Listenansicht aller Beiträge und Seiten auch direkt der Name der Seiten/Beiträge in einen Java-Skriptaufruf abgeändert:
Zusätzlich wurde nach Bereinigung die kostenlose Version des empfohlenen Plugins Wordfence installiert.
Wir hoffen mit diesem Beitrag vielleicht auch anderen Vereinen einen Hinweis geben zu können, wie man eine solch geartete Schadsoftware / Maleware ohne professionelle Hilfe selber entfernen kann.