Die NGO Atomic Reporters kontaktierte uns, als ihre Wordpress-Website gehackt und mit Anzeigen, Spamlinks und anderen seltsamen Texten infiltriert worden war. Grundsätzlich war der gesamte Inhalt unbrauchbar, da der eingefügte Text nur von Hand entfernt werden konnte. Das Team von Atomic Reporters war verzweifelt. Es konnte keinen Weg finden das Problem zu beheben, ohne alle Inhalte erneut zu schreiben oder jeden der Einträge einzeln zu korrigieren. Aus einem unbekannten Grund gab es noch dazu kein Backup, was die Situation weiter verschlimmerte.

Absicherung der Website

Zuerst haben wir uns die Wordpress-Konfiguration angesehen und die wichtigsten Einstellungen überprüft. Wir fanden schnell heraus, dass es möglich war neue Benutzerkonten, für nicht registrierte Benutzer zu erstellen. Wordpress hat einige gefährliche Einstellungen, die wenn sie falsch konfiguriert werden, eine große Angriffsfläche bieten. Wie so oft, waren viele Plugins veraltet oder wurden nicht verwendet. Es wurde keine Firewall auf Anwendungsebene installiert und kein Sicherheitsmodul konfiguriert.

Wir haben diese Schwachstellen sehr schnell behoben. Von nun an konnte niemand mehr Zugang zum System erhalten. Danach wollten wir feststellen was tatsächlich mit dem Seiteninhalt passiert war. Wir fanden heraus, dass ein unbekannter Angreifer, Inhalte in die Datenbank injiziert hatte. Der neue Inhalt wurde in ausgewählte Datenbankeinträge eingefügt, von denen jeder Eintrag, Text für Beiträge und Seiten enthielt. Es wurde nicht nur Text injiziert, sondern auch gefährlicher Javascript-Code, sowie Links zu unsicheren Websites.

Den Albtraum reparieren

Da die manuelle Entfernung von Hunderten von Spam Einträgen, von verschiedenen Seiten und Posts, so gut wie unmöglich und offensichtlich keine clevere Lösung war, mussten wir einen besseren Weg finden. Zuerst haben wir eine vollständige Sicherung der Datenbank vorgenommen. Dann exportierten wir die Datenbank als WXR Datei. Auf diese Weise konnte der Text in einem Texteditor oder einem IDE unserer Wahl wie Notepad+ bearbeitet werden. Als zweiter und entscheidender Schritt wurden mehrere Regex Regeln geschrieben, die alle verdächtigen Teile finden sollten.

Suchen und ersetzen

Es wurde nach Javascript-Tags oder offensichtlichen HTML Tags gesucht, da diese wiederholt in den Spam Nachrichten verwendet wurden. Es gibt sehr praktische Tools, die das Schreiben komplexer Regex-Regeln viel einfacher machen wie regexr und regex101. Sobald die Regex Regeln fertig waren, mussten wir nur noch "Search & Replace All" anwenden und boom, alle gehackten Teile wurden entfernt und der Inhalt erschien wie vor dem Hack. Voila!

Die Datenbank neu importieren

Sobald wir alle Spam Nachrichten aus dem Inhalt der Website entfernt hatten, wurde die WXR Datei wieder in Wordpress importiert. Somit wurden die gehackten Einträge überschrieben und der ursprüngliche Zustand von Posts und Seiten wiederhergestellt. Da wir das System abgesichert und Wordpress richtig konfiguriert hatten, konnte ein ähnlicher Angriff, nicht mehr vorkommen. Sag niemals nie, aber unser Team hat es für einen Angreifer millionen mal schwieriger gemacht! Ein automatisierter Bot erhält keinen Zugriff und sucht sich eine andere, unsichere, Wordpress Instanz.

Erstellen eines Backups

Als letzter und wichtiger Schritt wurde eine vollständige Sicherung der gesamten Wordpress-Installation erstellt. Dies war zuvor leider vernachlässigt worden, was eine sehr schlechte Idee ist. Man sollte immer regelmäßige Systemsicherungen erstellen, da man sie im Falle eines Serverproblems, eines menschlichen Fehlers wie der Löschung von Inhalten, oder einem Hack/Exploit der eine Seite unbrauchbar machen kann, dringend brauchen kann. Es wurde ein regelmäßiges Backup eingerichtet, das jede Woche läuft, um zukünftige Probleme zu vermeiden. Atomic Reporters Hack-Albtraum war endlich zu Ende, alle Probleme behoben und unsere Aufgabe erfüllt.

Über unseren Kunden

Atomic Reporter ist ein unabhängiges, gemeinnütziges Unternehmen, das Ende 2012 in Kanada eingetragen wurde und als offiziell anerkannte internationale NGO aus Österreich fungiert und Journalisten nukleare Informationen und nicht parteipolitische Informationen zur Verfügung stellt. Atomic Reporter organisiert Workshops und Seminare und bietet Schulungsmöglichkeiten für Journalisten an, die mehr über den Bereich erfahren wollen.

Danke fürs Lesen. Wir wünschen Ihnen einen hack-freien Tag! 🛡️