Kaum ist die Seite umgestellt, von einer semistatischen Seite hin zu einer rein dynamischen Seite mit einem Content-Management-System, da wird die Seite auch schon gehackt. Zu Beginn dieses Monats wurde immer wieder auf allen möglichen Seiten der folgende Code in die jeweils erste Zeile der Dateien auf dem Server eingefügt.
<?php if(!function_exists(‘tmp_lkojfghx’)){if(isset($_POST[‘tmp_lkojfghx3’])) […]
Dieser Code bewirkt, dass die Seiten nicht mehr ordnungsgemäß angezeigt werden, sondern stattdessen nur eine Fehlermeldung ausgegeben wird. Äußerst ärgerlich, da so natürlich die Nutzer verprellt werden. Es hat eine Weile gedauert, um die Einfallstore bei zu stopfen und als wirkungsvollste Methode hat sich das Verändern der Dateirechte erwiesen. Auch wenn damit ein gewisses Maß an Komfort für den Autor verloren geht. Aber es sieht so aus, als wenn nun alle Lücken gefunden und verschlossen sind. Immerhin läuft die Seite jetzt seit 6 Tagen wieder fehlerfrei und ich bitte daher eventuelle Unannehmlichkeiten zu entschuldigen.
So schlimm war es bei mir nicht. Es befiel nur die WordPressinstallation und dort einige ausgewählte PHP Dateien. Nach der Injektion in die jeweils erste Zeile der Datei, war die Seite immer down, was für die Besucher und Suchmaschinen schlecht ist.
Mein Tipp, alle Schreib-/Benutzerrechte (CHMOD) so weit es irgendwie geht runtersetzten. Software auf dem aktuellsten Stand halten, regelmäßige Backups, um schnell wieder den alten Zustand herstellen zu können. Evtl. Suchfelder und Co lieber von externen Anbietern einbinden, also nicht die WordPress-Suche, da die Zugriff auf den Webspace ermöglichen kann, sondern evtl. lieber die Google-Suche. Und regelmäßig kontrollieren, damit man im Fall des Falles schnell reagieren kann. Bei mir hat es geholfen, aber eine Patenlösung ist es nicht. Du solltest auch bei deinem Webhoster mal nachfragen, was die raten oder machen können.
Nachtrag:
Und vor allem den eigenen Rechner sauberhalten, denn es gibt auch Schadsoftware, die auf die Passwörter von FTP-Zugängen aus ist, um dann den Webspace zu infizieren.
Fand den Code so ähnlich auch bei mir. Gerade, kannst Du Tipps geben da ich 2 mal eine Injektion bekam. Wie es scheint trifft es nur die JS und PHP und HTML Typen und die haben bei mir einen Traffic von 45 GB und 787541 Zugriffen zur Folge gehabt. Sendepause… :)