WordPress malware hack clean up


Jeg har altid betragtet WordPress som et meget sikkert system, og det gør jeg som sådan stadig. Jeg blev dog en anelse nervøs, da jeg i påsken fik en mail fra en kunde som havde faet hacket sit site, og nervøsiteten blev ikke mindre da jeg opdagede at flere af mine egne sites også var blevet ramt af dette malware hack.

På de fleste af siderne var den nyeste version af WordPress installeret, og på ingen af dem, var der versioner ældre en 3.x og jeg var stærkt bekymret for om WordPress 3.3.1 havde en alvorlig sikkerthedsbrist.

Jeg har den sidste uge fået rigtig mange mails og opkald fra folk der har fået hacket deres site, og pludselig var der ikke længere noget system i det. Nu vidste det sig at være både WordPress sites, men også ASP og andre sites på PHP, og dermed både Windows og Apache servere.

Det er desværre ikke lykkedes mig at finde kilden til dette hack, men selvom det ser ud til at det primært er WordPress sites der er ramt, så ser det ikke ud til at det er en sårbarhed i WordPress.

Hvordan finder jeg ud af om jeg er ramt?

Prøv som det første at Google dit domæne. Google er som regel ret hurtige til at blokere websites som spreder malware, og ser du teksten: Dette website kan beskadige din computer – Så er du ramt.

Og så skal du scanne dit site på http://sitecheck.sucuri.net/scanner/ – Den scanner dit site for malware og fortæller dig om du er inficeret.

Hvordan fjerner jeg malware fra mit website?

Dette er ikke en endegyldig løsning på alt, men alle de hacks jeg har set her hen over påsken, er udført på samme måde.

Der er injected noget script ind i alle filer på serveren der hedder:

  • index.php
  • index.asp
  • default.asp
  • header.php
  • header.asp
  • main.php
  • main.asp

(Der kan være andre filtyper som .aspx, .jsp osv, men det har jeg ikke set.)

Her er et eksempel på index.php i roden af WordPress som ramt. (det er linje 18,19)

Her er et eksempel på en header.php fra et WordPress tema som er ramt. Her ser koden nemlig en smule anderledes ud. (Det er linje 39,40,41)

Så den hurtige løsning på at blive “clean” igen, er at downloade alle filer fra dit webhotel/server og søge efter de ramte filtyper (Hvis det er et WordPress site, så søg efter index.php, main.php og header.php).

Åben dem i en texteditor, og fjern den skadelige kode, og upload igen.

Vær opmærksom på at din antivirus software sikkert vil brokke sig når du henter filerne, da den genkender dem som malware/trojans. (Jeg har en computer kun til den slags, hvor jeg kan disable mit antivirus uden at være nervøs for mine data.) Så du skal passe på med ikke at få din computer inficeret, da det jo i sidste ende er det bagmændene er ude på.

En anden løsning er at lave en backup (hvis ikke man allerede har det), og slette alle filer på serveren. Her efter lave en ren installation af WordPress (eller hvilket system man nu bruger), og hente nye versioner af eventuelle plugins, temaer osv.

Bemærk at det er alle mapper på serveren der bliver ramt, så dermed er dine plugins og temaer også inficeret.

Nu skulle du være clean igen, men vi har kun rettet fejlen, men ikke lukket hullet. Jeg anbefaler at man skifter password til FTP/webhotel, samt de WordPress administratorer man måtte have.

Da jeg ikke med sikkerhed ved hvordan det er lykkedes at inficerer en række sites, kan jeg desværre ikke give en guide til hvordan det ikke sker igen.

Bruger du denne guide er det på eget ansvar.. ikk? 😉

Har du en løsning, godt råd, eller er du selv blevet ramt, så del gerne dine erfaringer her.

Lars Bachmann

Iværksætter og Online nørd. Arbejder med WordPress og online markedsføring i min virksomhed Conseo.

Prøv lige at se disse indlæg også!

14 kommentarer til WordPress malware hack clean up

  1. Thomas Frost siger:

    Hej Lars

    Fedt du deler den viden (+1 er hermed trykket i top og bund af siden), hvor mange ramte sider er du stødt på og hvad siger webmastertools til det på de ramte sider?

    Det kunne være interessant at se på andre sider der ligger på samme server som nogle af dem der er ramt, for eventuelt at se om mange på samme server er ramt.

  2. Lars Bachmann siger:

    Indtil videre er jeg stødt på ca. 18 sites. Hvis sitet er ramt, så vil det fremgå af webmastertools, hvor du også kan de om en ny evaluering af sitet, når du har renset det.

    Jeg har mistanke om at hvis du har flere domæner på samme konto/webhotel, så er det spredt til alle domæner.

  3. Jeg har også set en del sites med samme problem inden for den seneste tid

    Det startede med en kundes butik, som i tidernes morgen er håndkodet i HTML/ASP og altså ikke et standardsystem. Alle HTML-filer var inficeret med et script.

    Jeg cleanede filerne og ændrede adgangskoder til administrationsdelen, databasen og FTP, men filerne blev inficeret igen 3 dage i træk. På fjerdedagen var hostens egen hjemmeside lukket helt ned, så jeg tror, at det er serverne, der har været udsat for et massivt angreb. Efter det har den samme side ikke været inficeret igen.

    Jeg har også en del WordPress-sider, der har været ramt, selvom de har været opdateret og også hos forskellige webhoteludbydere.

  4. Ja, det er vel den gamle klassiker med et enkelt efterladt plugin på en enkelt forladt installation, som rammes – og så festes der på hele hostingkontoen bagefter.

  5. Tak for at du deler din viden

    Har heldigvis ikke fået inficeret nogle sites, men der er dømt weekend-arbejde med at få opdateret og det burde egenligt være fast procedure at få opdateret noget oftere.

  6. Thomas Frost siger:

    Sig mig har der været et større angreb i gang, der bare har holdt sig helt udenfor offentligheden?

    7-9-13 har vi eller vores kunder ikke været ramt, men hvis alle andre er ramte er det nok bare fordi vi ikke hoster så mange sider vi er sluppet heldigt.

    Jeg poster tråden på min Google+ og håber endnu flere vil bidrage med oplysninger.

  7. Jeg kan anbefale følgende plugin: http://wordpress.org/extend/plugins/exploit-scanner/

    Installer det, og kør en scan af din WordPress installation (du finder det under værktøjer).

    Når den har scannet færdigt vil du få en liste over filer som kan være inficeret (men de er det ikke nødvendigvis). Det er især “eval()” og “base64_decode” du bør være opmærksom på.

    Nu når du ved hvad der er inficeret kan du slette koden ved at hente filerne ned via FTP

    Husk altid at tage backup af både database og filer inden du begynder at slette noget.

  8. VirtuRex siger:

    Min side blev inficeret med phishing sider og spam robotter.
    Jeg søgte på google efter mit password, og fandt en HASH oversættelse.
    Jeg mistænker en ubeskyttet formular som er blevet cracked gennem injection scripts…
    Men hvad ved jeg…
    Jeg har fjernet formularen og beskyttet de resterende, samt ændret alle passwords (brugte lige Google til at se om det var oversat).
    Jeg har ikke haft ubudne gæster siden.

  9. Det er også værd at huske, at hvis man bruger caching, så skal man lige rydde cachen, når man har cleanet siden.

  10. Deborah siger:

    Som du måske ved (hvis du har modtaget min mail) har jeg også været ramt flere gange. Jeg opdaterer så jeg er helt blå i hovedet, så det er ikke der, den er gal. Men jeg har brug for hjælp, som skrevet til dig.

  11. Allan Hansen siger:

    Hej folkens,

    Jeg har også oplevet lidt problemer med en WordPress virus, som jeg fandt ud af var relateret til et hul i timthumb.php filen. Når den først er inde, så er det stortset alle filer, der udgør et problem. Har skrevet et lille indlæg om, hvordan den fjernes her:

    http://marketingsiden.dk/how-to-remove-god_mode_on-wordpress-virus/

    Mvh Allan

  12. Emil Frandsen siger:

    @Johnny: Angående sikkerhed, så kan jeg ikke komme ind på din hjemmeside. Jeg får en stor advarsel, der siger at du har indhold fra et .ru-domæne, og at det ikke er sikkert at fortsætte.

  13. Jeg har et site der også er blevet ramt ifølge google, men kan ikke finde noget. Jeg har før været ramt for et års tid siden, hvor min hostudbyder fjernde det efter jeg fandt ud af at det var samtlige htmlfiler der var inficerede.
    Men denne gang kan jeg intet finde. Har i nogle gode ideer til hvad man ellers kan søge efter? Jeg har fundet ud af at det er black hole exploit kit.

  14. Lars Bachmann siger:

    Hej Thomas. Har du scannet dit site med http://sitecheck.sucuri.net/scanner/ og i så fald hvad siger den?
    Hvilken type site er det?

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *