Wie kann man feststellen ob die Webseite gehackt wurde?

Anleitungen zu Fail2Ban, blocklist.de und x-arf
Antworten
kugelblitz
Beiträge: 2
Registriert: 23. Aug 2013, 15:24

Wie kann man feststellen ob die Webseite gehackt wurde?

Beitrag von kugelblitz » 23. Aug 2013, 15:28

Am 23. August 2013 08:29 schrieb Support www.blocklist.de
Einmal sind infizierte Windows-Rechner mit dynamischen IPs dabei und zum anderen Teil infizierte, bereits gehackte Wordpress-Installationen mit statischen IPs.
Hallo Martin,
vielen Herzlichen Dank für Deine Auskunft.
Arbeite an einem Onlineshop für einen Kunden. Der Provider beschwert sich das diese Wordpress Installation fast ständig 100% CPU Auslastung verursacht.
Der WooCommerce Shop scheint durchaus ein Resourcenfresser zu sein.
Aber wie kann ich denn feststellen ob meine Wordpress installation gehackt wurde?

Schöne Grüße
mARTin


Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Wie kann man feststellen ob die Webseite gehackt wurde?

Beitrag von Martin » 9. Sep 2013, 14:12

Hallo kugelblitz,

sorry für die verspätete Antwort.

Wenn der Verdacht eines Hacks besteht, kann man z.B. mit "find" alle Dateien auflisten lassen, welche innerhalb der xxx letzten Tage modifiziert wurden und diese dann prüfen.
Sehr oft liegen die Malware-Dateien in Temporären Verzeichnissen wie tmp/, uploads/, admin/ oder Plugin-Verzeichnisse, wo die Schreibrechte zu hoch sind.
Ein "grep -nri eval *" kann auch viele Malware-Dateien finden (so gibt es aber auch viele false-Positives). Ein eval(base64_decode( ist aber zu 99% von Malware-Authoren.

Ansonsten können auch Dienste wie http://sitecheck.sucuri.net/ helfen, falls z.B. per gehacktem FTP-Account html-Code/Weiterleitung/Iframes eingebaut wurden.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten