Malware-Angriff mit kurzzeitigem Erfolg
Es hat wahrscheinlich kaum jemand mitbekommen, aber inArnstadt.de war ein paar Tage verschwunden. Die Ursache war ein leider erfolgreicher Malware-Angriff. In der Folge waren alle Websites, die ich im gleichen Webspace (ca. 30) administriere, massiv verseucht. Das bedeutet, dass Backdoors eingebaut und Dateien infiziert wurden. Im Ergebnis hat man unter 100.000 Dateien nahe 1000 Dateien, die repariert oder gelöscht werden müssen. Von Hand ist das bei mehr als 30 Website unmöglich zu handhaben und zum Glück gibt es gute Lösungen, die wenigstens die grobe Arbeit übernehmen. Es ist so, als Betreiber von WordPress Websites wird man permanent angegriffen. Jeden Tagen, jede Stunde, aus verschiedensten Ländern. Meine »Lösung« zeigt das recht gut:
Die allermeisten privaten WordPress Betreiber merken das gar nicht, sie wundern sich nur, wenn die Website immer langsamer wird oder etwas optisch und/oder funktional nicht passt. Normalerweise habe ich dieses Problem recht gut im Griff. Auf meinen (Kunden-)Servern gibt es dank imunify360 keinerlei Probleme. inArnstadt.de läuft aber auf einem Webspace und hier muss der Angriff vom Hoster bzw. vom Inneren des Servers gekommen sein und erstaunlicherweise schweigt der Hoster ziemlich laut auf meine recht detaillierten Fragen.
Der Angreifer hatte eine Art »MegaRoot-Zugriff« und ich konnte ihn weder aussperren noch verhindern, dass er weiter Schadsoftware installiert. Es sollte erwähnt werden, dass bei diesen Angriffen kein Mensch tatsächlich versucht mich zu hacken. Diese Angriffe laufen vollkommen automatisch, softwaregesteuert und vermutlich zig Websites synchron.
Es war mir ohne die Antworten des Hoster bedauerlicherweise nicht möglich, den genauen Angriffsvektor zu identifizieren und so könnte schon morgen genau das gleiche noch mal passieren. Ich wechsel jetzt täglich ftp Passwörter und lasse jede Nacht Scans laufen, sodass ich wenigstens sofort mitbekomme, wenn etwas passiert.
Wie habe ich die Malware beseitigt?
Das war doch ein recht umfangreiches Unternehmen. Ich habe die (verseuchten) Daten von allen Website gezippt und auf den PC heruntergeladen. Auf meinem PC habe ich mir mehrere WordPress-Installationen parallel aufgesetzt, den Malware-Killer installiert und die verseuchten Dateien über die vorhandenen kopiert. Die Datenbanken haben ich nicht mit importiert und so konnte ich vollkommen isoliert jede einzelne WP-Installation von der Schadsoftware befreien.
Danach habe ich die Website wieder online gestellt und noch ein paar Stolperfallen für den nächsten Versuch ausgelegt. Vor allem vom Deaktivieren der Möglichkeit Dateien direkt in der WordPress-Installation zu ändern, verspreche ich mir doch vielleicht etwas Ruhe. Dieser Vorgang hat mich bei ca. 30 Websites ungefähr 10 Tage Arbeitszeit gekostet. Für die Berechnung der Kosten würde ich grob 4h/Website bei vollständiger Reinigung veranschlagen.
Sollten Sie von Malware und ähnlichen Problemen betroffen sein, ob auf PC oder in Websites, zögern Sie nicht mich anzuschreiben. Ich kann Sie coachen, Ihr System selbst zu reinigen oder ich übernehme die Reinigung komplett.
https://pwa.ist/kontakt/
