In der Nacht von Freitag auf Samstag war ich mit blogwurm.de ein Ziel der Hackergruppe „The GreaT TeAm„. Ich habe mich etwas in die Thematik eingelesen und bin recht schnell zu dem Ergebnis gekommen, dass die Sicherheitslücke vom TimThumb-Script verursacht wurde und darüber schon mehrfach berichtet wurde.
Wenn deine Seite auch gehackt wurde, sieht sie ungefähr so aus: http://www.blogwurm.de/hacked/
WordPress Passwort wiederherstellen
Als erste Hürde haben mir die Hacker das Passwort zu meinem Blog geändert. Es ist jedoch ziemlich einfach das Passwort wiederherzustellen.
Du benötigst lediglich ein mySQL-Administrations-Werkzeug, wie z.B. phpMyAdmin. Melde dich via phpMyAdmin in deiner Datenbankverwaltung an und öffne die Datenbank deines Blogs. Jetzt lässt du dir den Inhalt der Tabelle „users“ anzeigen und suchst die Spalte „user_pass“. In dieser Zelle ist ein 32-stelliger Buchstaben-Zahlencode zu finden, das ist dein md5-verschlüsseltes Passwort.
Um ein neues Passwort einzugeben, benötigst du eine Software, die dein Passwort mit md5 verschlüsselt. Dazu habe ich den kostenlose md5-Generator von bueltge.de verwendet.
Sicherheitslücke schließen und Schadcode entfernen
Um die Sicherheitslücke zu schließen, musst du dir das WordPress Plugin Timthumb Vulnerability Scanner installieren. Dieses Plugin sorgt mir einem Mausklick dafür, dass die Sicherheitslücke geschlossen wird. Jetzt musst du nur noch mit dem Exploit Scanner all deine Dateien, Beiträge und Kommentare nach eventuell verstecktem Schadcode durchsuchen.
Jetzt solltest du dir noch die WordPress FAQ „My site was hacked“ zu Gemüt führen und Schritt für Schritt die Punkte abarbeiten.
Abschließende Maßnamen
Um dein WordPress auch zukünftig gegen Angriffe abzusichern, solltest du zwingend darauf Achten immer die neuste WordPress Version installiert zu haben. Dann ist es ratsam in regelmäßigen Abständen das Passwort zu ändern.
Solltest du alleine nicht das gewisse Fachwissen haben um dein WordPress wieder zu reparieren, kann ich dir gegen einen kleinen Obolus gerne behilflich sein. Schick mir einfach eine Nachricht oder nutze die Kommentarfunktion 🙂
hi,
warum sind ALLE gehackten seiten von The Great Team plötzlich wieder online? Ich mein online werden die ja kommen, aber alle fast auf einmal?
Es sind viele Seiten noch nicht wieder online:
http://wendt-wadsack.de/
http://fos-haubinda.de/
http://streetbike-custom.de/
http://autolackiererei-handel.de/
http://going2.dk/
http://szybkidunski.dk/
und noch haufenweise mehr…
gab es nach dem hack daten verluste?
nein, zum glück nicht – das waren nette hacker 🙂
werden sie jetzt gegen die hacker etwas unternehmen? ich mein zurück verfolgen lassen die sich bestimmt nicht so leicht und außerdem sitzen die ja anscheinend in LY. ich bin erst durch die gruppe auf ihre tolle seite aufmerksam geworden 😀 intressante blog-einträge haben sie da 😉
Nein, ich werde gegen die Gruppe nicht vorgehen! Einerseits habe ich beweistechnisch keine Möglichkeit (Bis auf die Serverlogs) – bei einer privaten Seite macht das eh keinen Sinn!
Außerdem war es ein „gutmütiger“ Angriff bei dem nur die index.php abgeändert und als Visitenkarte verwendet wurde. Ich wurde quasi auf eine Sicherheitslücke hingewiesen – auch wenn es nicht die Art und Weise war, die ich bevorzuge 😉
Was hast du denn mit der ganzen Sache zu tun? Bist du Mitglied einer solchen Vereinigung, bist du geschädigter?
Nein, die haben auf ihrer facebook seite die seiten aufgelistet, welche sie gehackt haben. únd da war auch ihre seite dabei. ich fand den namen „blogwurm“ ganz intressant und habe in den letzten Tagen immer wieder mal hinein gekuckt, ob die seite wieder verfügbar ist :O
Ich hatte mal eine gaming-seite. wurde aber auf einem free-hoster gehostet. die seite wurde auch irgednwie gehackt und ich habe die irgendwie nicht mehr zurück bekommen. immer wenn man drauf zugreift wird man auf irgend ein youtube-video weiter geleitet…
Ist sie zum Glück wieder 🙂
Es lag unter anderem auch daran, dass die WordPress Version war und ich die Hinweise im Backend immer ignoriert habe. Jetzt ist das Blog sicher 😉
wollen sie vileicht noch die einbinde funktion vervollständigen? Da steht „Du kannst folgende HTML-Tags benutzen:“
und dann sind da nicht vervollständigte tags 😀
Das raff ich jetzt ehrlich gesagt nicht was du meinst!
Nun, ich habe keine WordPress-Seite gehabt und sie war dennoch gehackt. Auch ein Passwort war nicht geändert worden. Ich hab mir mal die Liste all derer Seiten angesehen, die gehackt worden sind angesehen und stellte recht schnell fest, dass nahezu alle Seiten bei Alfahosting gehostet sind. also wird das (Sicherheits)problem eher dort liegen.
LG
nurmal so das sind bots die scannen und machen alles automatisch
Das sind Skript Kiddies, keine „Hacker“.