JV Webdesign BLOG

WordPress, SEO, Security, PageSpeed, CSS, How-To
Cyber Security
Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on email

WordPress Redirect Hack store.dontkinhooot.tw

Themen auf dieser Seite

Was ist passiert?

Aktuell gibt es eine Weiterleitungs-Attacke auf WordPress Websites.
Dieser Artikel wird aktualisiert, wenn ich mehr herausfinde.

Ich habe gestern 2 Websites wegen dieser Attacke wiederherstellen müssen. Bei beiden wurden Scripts von store.dontkinhooot.tw geladen. Das hatte zur Folge, dass man sofort auf verschiedene Seiten mit dubiosem Inhalt weitergeleitet wurde. Auch das Backend war nicht mehr erreichbar. Nach Wiederherstellung eines 7 Tage alten Backups, war das Weiterleitungs-Problem behoben, aber es befand sich bereits ein Link zu dem Script in der Datenbank.

Daraufhin habe ich meine eigene Website ebenfalls danach durchsucht und wurde fündig!! Auch auf 12 weiteren Kunden Websites versteckte sich bereits die URL in der Datenbank. Alle mit Security Plugin und Malware Scanner. Keiner hat Alarm geschlagen. Deshalb mache ich das jetzt und versuche möglichst viele Leute zu erreichen. Bitte hilf mir und teile diesen Beitrag oder sage einfach allen Bescheid, dass sie nach der URL suchen sollen.

Handlungsempfehlung:

Ich empfehle dir dringend deine Datenbanken und die deiner Kunden nach diesen URLs zu durchsuchen und sie zu löschen. Z.B. mit dem Plugin Search and Replace.

https://store.dontkinhooot.tw/destination.js?z=i&id=112&clid=512&sid=7896345

Was ich über die Attacke herausfinden konnte

  1. Die bisher für mich sehr zuverlässigen Security Plugins Wordfence und iThemes verhindern es nicht.
  2. Und die Sicherheitsexperten im WordPress-Forum raten zu NinjaFirewall.
  3. Der Link zu dem Script ist mindestens schon eine Woche vor dem Angriff in der Datenbank zu finden.
  4. Es scheinen alle WordPress Installationen einer Hosting-Umgebung betroffen zu sein. Selbst Subdomains mit Entwicklungs-Umgebungen waren infiziert, obwohl diese nirgends verlinkt waren und natürlich nicht bei Google zu finden sind. Also alle Installationen prüfen. Erklärung: Vermutlich verschafft sich der Hacker Zugriff zum FTP Server und kommt an alle Ordner, die in dem Hauptverzeichnis liegen.

Plugin-Liste

Diese Plugins waren auf allen betroffenen Websites installiert:

  • Elementor
  • Classic Editor
  • Rank Math
  • Selfhosted Google Fonts

Wie kann ich WordPress absichern?

Ein Artikel dazu, wie du WordPress möglichst gut absicherst. Danke Pascal.

https://website-bereinigung.de/blog/wordpress-absichern#anleitung-einrichtung-und-konfiguration-der-ninjafirewall

Du wurdest schon gehackt?

Hier findest du eine Anleitung, wie du eine gehackte Website wiederherstellst:
https://www.netz-gaenger.de/blog/wordpress-tutorials/wordpress-wurde-gehackt-was-tun/

Quellen mit weiteren Infos

https://guides.magefix.com/2021/02/clean-chr-malware-dontkinhooot-tw/

Bist du auch betroffen? Was hast du bereits über diesen Hack herausgefunden?

Schreib in die Kommentare.

Teile das mit deinen Kollegen

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on email

Kommentare

3 Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Beiträge interessieren dich vielleicht auch