Wie kann man feststellen ob die Webseite gehackt wurde?

[kugelblitz]

Am 23. August 2013 08:29 schrieb Support www.blocklist.de
Einmal sind infizierte Windows-Rechner mit dynamischen IPs dabei und zum anderen Teil infizierte, bereits gehackte Wordpress-Installationen mit statischen IPs.

Hallo Martin,
vielen Herzlichen Dank für Deine Auskunft.
Arbeite an einem Onlineshop für einen Kunden. Der Provider beschwert sich das diese Wordpress Installation fast ständig 100% CPU Auslastung verursacht.
Der WooCommerce Shop scheint durchaus ein Resourcenfresser zu sein.
Aber wie kann ich denn feststellen ob meine Wordpress installation gehackt wurde?

Schöne Grüße
mARTin

[kugelblitz]

Hab die hier gelesen
http://www.nutsandboltsmedia.com/how-to ... en-hacked/
http://www.inmotionhosting.com/support/ ... rce-attack
http://bit51.com/how-to-tell-if-your-si ... en-hacked/

[Martin]

Hallo kugelblitz,

sorry für die verspätete Antwort.

Wenn der Verdacht eines Hacks besteht, kann man z.B. mit "find" alle Dateien auflisten lassen, welche innerhalb der xxx letzten Tage modifiziert wurden und diese dann prüfen.
Sehr oft liegen die Malware-Dateien in Temporären Verzeichnissen wie tmp/, uploads/, admin/ oder Plugin-Verzeichnisse, wo die Schreibrechte zu hoch sind.
Ein "grep -nri eval *" kann auch viele Malware-Dateien finden (so gibt es aber auch viele false-Positives). Ein eval(base64_decode( ist aber zu 99% von Malware-Authoren.

Ansonsten können auch Dienste wie http://sitecheck.sucuri.net/ helfen, falls z.B. per gehacktem FTP-Account html-Code/Weiterleitung/Iframes eingebaut wurden.