Was ist eine Backdoor?
Eine bösartige Backdoor ist Code, der unautorisierten und oft uneingeschränkten Zugriff auf eine kompromittierte Website ermöglicht. Sie ermöglichen Angreifern den Zugriff auf alle Dateien innerhalb des Hosting-Accounts. Backdoors können wie normaler PHP-Code aussehen oder obfuskiert (absichtlich verschleiert, um den Code zweideutig zu machen) und versteckt sein. Eine Backdoor kann in eine gültige Datei als nur eine kurze Codezeile eingefügt werden, die ziemlich unschuldig aussieht. Oder eine Backdoor kann eine eigenständige Datei sein. Eine Backdoor ermöglicht es einem Angreifer, beliebigen bösartigen Code auf der Website zu platzieren. Backdoors werden oft in Verbindung mit anderer Malware gefunden.
Bestimmen, ob Ihre Site infiziert ist
Backdoors können schwer zu finden sein, da sie oft verschleierter Code sind. Wenn es eine Backdoor gibt, gibt es in der Regel noch weitere, die gleich aussehen können oder auch nicht. Manchmal handelt es sich bei Backdoors um ungesicherte Wartungsskripte, die nach einer autorisierten Wartung der Website versehentlich zurückgelassen wurden.
Ein Website-Besitzer ist sich oft nicht bewusst, dass Backdoors auf der Website vorhanden sind. Wenn jedoch andere Malware auf der Website gefunden wird, ist es wahrscheinlich, dass auch viele Backdoor-Dateien oder Code-Injektionen vorhanden sind, die es einem Angreifer ermöglichen, auf die Website zuzugreifen.
Finden und Entfernen von Backdoors
Das Entfernen von Backdoors erfordert eine Analyse des Website-Codes. Backdoors befinden sich typischerweise innerhalb von php-Dateien auf dem Webserver. Sie können entweder in Ihre Core-, Plugin- oder Theme-Dateien eingefügt werden oder sie können eine eigenständige Datei sein. Sie können sich in jedem öffentlich zugänglichen Verzeichnis auf Ihrem Server befinden, auf das die Person, die sie platziert hat, leicht zugreifen kann.
Um die Backdoor zu entfernen, erstellen Sie zunächst ein Backup der Website-Dateien und der Datenbank. Es ist hilfreich, Ihre rohen http-Zugriffs-Logdateien zu überprüfen, da die Verwendung der Backdoor typischerweise über eine POST-HTTP-Anfrage an eine Datei erfolgt.
Ein kompromittiertes Administratorkonto kann es dem Angreifer ermöglichen, den Core-Theme-Editor zu verwenden, um eine Backdoor in die 404-Datei eines Themes einzufügen. Auf diese Weise wird bei jeder Anfrage an Ihre Website, die eine 404-Fehlermeldung erzeugt, eine Hintertür angezeigt, die von jedem verwendet werden kann, der weiß, dass sie vorhanden ist.
Die Entfernung der Hintertür erfordert das Auffinden des Codes, der den unberechtigten Zugriff ermöglicht, und das Entfernen dieses Codes. Es erfordert ein Verständnis des Codes, der Ihre Website betreibt.
Rogue File Backdoors
Hier sind einige Beispiele für Backdoors, die als Rogue Files gefunden wurden, oder Dateien, die nicht Teil des Kern-Plugins, Themes oder Content Management Systems sind. Sie haben Namen, die unschuldig erscheinen oder anderen Kerndateien ähnlich sind, wie xml.php, media.php, plugin.php usw., und sie können überall auf der Website platziert werden. Der Code in einer Rogue-Datei könnte etwa so beginnen:
$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW = ${$t43.$t43
Es ist wichtig, nicht nur nach fremden Dateien auf Ihrer Seite zu suchen, sondern jede Datei zu untersuchen.
Backdoor-Plugins und Themes
Wenn ein administratives Konto kompromittiert wurde, nutzen Angreifer oft die Plugin- oder Theme-Upload-Funktionen einer Website, um Backdoors hinzuzufügen.
Wenn ein Plugin mit Backdoors hinzugefügt wird, kann es auf der Plugin-Administrationsseite erscheinen oder auch nicht. Bösartige Plugin-Dateien sind oft versteckt und nur im Dateisystem über Ihren Dateimanager oder FTP sichtbar. Sie tragen oft Namen, die hilfreich erscheinen, wie z. B.:
- WordPress Support
- Login Wall
- WP zipp
- WP-Base-SEO
Es können Plugins installiert werden, die wie normale Plugins aussehen, mit Namen wie Akismet3 zusammen mit einigen älteren gültigen Akismet-Dateien, aber mit Backdoor-Code in den hochgeladenen Dateien.
Es können auch Themadateien hinzugefügt werden, die Backdoors enthalten. Das WordPress-Theme Sketch war eine Zeit lang ein beliebtes, mit Malware belastetes Theme, das mit zahlreichen Backdoor-Dateien hochgeladen wurde. Das Theme kann in der Theme-Verwaltungsseite angezeigt werden, oder es fehlen einige Dateien und es wird unten auf der Seite als inaktives Theme aufgelistet, weil es einige Dateien vermisst.
Wenn Sie Themes oder Plugins haben, die Sie nicht erkennen, entfernen Sie diese. Aber Sie müssen auch den Rest Ihrer Dateien überprüfen. Oft ist eine Hintertür ein Mittel, um weitere Hintertüren auf der gesamten Website hinzuzufügen, einschließlich der Bearbeitung von Kerndateien, um darin Hintertürfunktionen hinzuzufügen.
Kerndateien-Backdoor-Einsätze
Kerndateien Ihres Content-Management-Systems können Hintertüren enthalten. Sie können am Anfang der Datei, am Ende der Datei und in einigen Fällen innerhalb des gültigen Codes der Kerndatei selbst eingefügt werden.
Dieser Code oder ähnlicher Code wird oft am Anfang einer gültigen Seite eingefügt.
if (isset($_REQUEST)){$_FILE =$_REQUEST('$_',$_REQUEST.'($_);');$_FILE(stripslashes($_REQUEST));}
Hier ist ein weiteres Beispiel.
Andere Backdoors sind stark verschleiert und können wie folgt beginnen.
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\
Oft finden sich irgendwo in der Backdoor-Datei Verweise auf FilesMan.
$default_action = "FilesMan";
Manchmal schreibt eine Backdoor gezielt schädliche Inhalte in eine bestimmte Datei, in diesem Fall in die .htaccess-Datei.
Ungesicherte Wartungsskripte
Wartungsskripte werden manchmal zurückgelassen, nachdem eine Wartung durchgeführt wurde. Diese Skripte werden später von Angreifern entdeckt und ausgenutzt. Ein beliebtes Wartungsskript ist searchreplacedb2.php, das einen uneingeschränkten Zugriff auf die Datenbank der Website ermöglicht.
Looking Beyond the Backdoor
Backdoors werden meist als Mittel zum Zweck in Verbindung mit anderen bösartigen Seiten eingesetzt. Wenn Sie Backdoors haben, haben Sie höchstwahrscheinlich auch andere Malware auf Ihrer Seite, wie z.B. Spam-Seiten, Spam-Links, Phishing-Operationen oder bösartige Weiterleitungen.
Unabhängig davon, welche Art von Backdoor Sie auf Ihrer Seite gefunden haben, ist die große Frage: Wie ist sie dorthin gekommen? Möglicherweise gibt es andere Arten von Malware oder Sicherheitslücken auf Ihrer Website, die es einem Angreifer ermöglichten, Zugriff auf die Website zu erhalten. Angreifer platzieren oft mehrere Backdoors, manche ähnlich, manche anders, daher ist eine Überprüfung der gesamten Website wichtig.
Wenn Sie nach dem Lesen dieses Leitfadens unsicher sind, wie Sie Backdoors entfernen können, wenn Sie unsicher sind, ob Sie alle entfernt haben, oder nach weiteren Antworten suchen, wie der Code auf Ihrer Website platziert wurde, holen Sie sich Hilfe.