Innerhalb eines Monats (Noch unter janotta-partner.de) erhielten wir mehrere Aufräumungsanfragen, vorallem aber ging es darum das auf entsprechenden Webseiten der Kunden Eval (base64_decode())Code gefunden wurde und der Webhoster diese Seiten als gehackt einstufte. Auch bei Google kam es zu der Meldung: Diese Website ist vermutlich gehackt. Ein WordPress Nutzer meldete, das wenn er versucht, auf seine Website zuzugreifen, wird er auf eine Angriffsseite weitergeleitet .

Wenn eine vertrauenswürdige Website auf eine Angriffswebsite umgeleitet wird, bedeutet dies, dass die Website gehackt wurde und der Hacker einige PHP-Skripts geändert hat, um die automatische Weiterleitung zu erstellen. „PHP: Hypertext Preprocessor“, ursprünglich „Personal Home Page Tools“) ist eine Skriptsprache mit einer an C und Perl angelehnten Syntax, die hauptsächlich zur Erstellung dynamischer Webseiten oder Webanwendungen verwendet wird. PHP zeichnet sich durch breite Datenbankunterstützung und Internet-Protokolleinbindung sowie die Verfügbarkeit zahlreicher Funktionsbibliotheken aus.

Also entschied ich mich für das nächste Thema, über das ich schreiben werde wohl Eval (base64_decode()) Php sein wird. Obwohl ich das gesamte Konzept gründlich recherchieren musste, habe ich schließlich jedes einzelne Stück zusammengefasst, um zu verstehen, wie man eval (base64_decode ()) von einer gehackten WordPress-Seite entfernt.

Beginnen wir mit dem sechsstufigen Leitfaden zum Reinigen von php eval (base64_decode ()) hack von einer WordPress-Website. Lassen Sie uns die wichtigsten Punkte des Artikels erläutern:

  • Was ist eval base64?
  • Was macht eval base64 Code?
  • Wie funktioniert php eval (base64_decode?
  • Wie eval-base64_decode wie PHP-Virus loswerden? [Verschiedene Werkzeuge zum Decodieren von Base64-Strings]

Was ist eval base64?

Dies ist eine Codeausführung, die durch ein base64-Codierungsschema verschleiert wird. Der einzige Grund dafür wäre, dass bösartiger Code versteckt wird. Wenn Sie verdächtige base64-kodierte Befehle finden, sollten Sie die Strings dekodieren und sehen, was diese Codierung enthält. Möglich ist dies zum Beispiel mit dem kostenfreien Decoder unter https://www.base64decode.org/

 

Eval Code in WordPress.

Ein eval base64 ist eine PHP-Funktion des gehackten Codes, der von Hackern benutzt wird, um die Kontrolle über Ihre Website zu erlangen. Das Hinzufügen von eval (base64_decode) -Code in PHP-Dateien hilft Hackern, illegal auf Ihre Website zuzugreifen und zu versuchen, Ihre Website für bösartige Zwecke zu verwenden. Das scheint jetzt extrem gefährlich zu sein. Dieser Code ist nicht schwer manuell von allen PHP geschriebenen Dateien zu entfernen, aber was ist, wenn alle WordPress-Webseiten wieder mit dem Schadcode infiziert wurden! Wir müssen die Hauptursache für die Injektion von Schadcode verstehen.

Nach der Untersuchung fanden wir die Gründe für das Hacken von WordPress-Websites mit eval base64 decode, die unten aufgelistet sind

  • Wenn Sie eine veraltete Version von WordPress ausführen.
  • Art des verwendeten Hostings (geteilt, dediziert, virtuell).
  • Verwundbarer Administrator-Account-Exploit.
  • Kompromittierung Ihres FTP / SSH / Web Konsole / etc Accounts mit Ihrem Provider. Wenn Sie Ihr Passwort über ein unverschlüsseltes Protokoll (wie FTP) senden, sollten Sie damit aufhören.
  • Schlupflöcher im Code geschrieben.
  • Veraltete Designs installieren, die alte PHP-Skripte verwenden.
  • Alte und anfällige Versionen von Themes verwendet. [Verwenden Sie den WordPress Vulnerability Scanner, um Sicherheitslücken zu finden]
  • Apache HTTP Server aktualisiert?
  • Aktuelle PHP Version genutzt?

Was macht eval base64 auf Iher Website?

Wenn Ihre PHP-Dateien durch die Codezeile von eval base64 dekodiert werden, werden die Nutzer, die von verschiedenen Suchmaschinen wie Chrome, Firefox, Yahoo, Bing usw. kommen, automatisch auf eine bösartige Website weitergeleitet. Dafür verantwortlich ist ein “eval (base64_decode (” someObscureCharacterString “));”

In einfachen Worten, die Eval-base64-Decodierung ist ein php-Funktionsaufruf, der in base64 codiert ist und den decodierten Code ausführt. Dies hilft dem Hacker, jede PHP-Funktion auszuführen und Malware auf Ihre Website zu injizieren und somit die Kontrolle zu erlangen und Ihre Website anzugreifen.

Auf Ihrer Website muss Code vorhanden sein, mit dem das bösartige Skript des Hackers auf Ihrem Server ausgeführt werden kann. Ein Hacker verschleiert bösartiges Skript, indem es es unter der Funktion base64_encode () von PHP versteckt. Nun, dieses Skript ruft die Funktion base64_decode () auf, um alle PHP-Dateien auf Ihrer Website sichtbar zu machen.

Schließlich wird mit der PHP-Funktion eval () der bösartige Code “ausgeführt” (oder EVALUIERT). Wie zu sehen ist, platzieren Hacker die bösartige Linie an der Spitze von so vielen PHP-Dateien wie sie können. Einige intelligente Angreifer platzieren diese Funktion auch in versteckten Ordnern, so dass der Hacker die Website erneut aufrufen und gewünschte Änderungen am Code vornehmen kann, um eine automatische Weiterleitung zu erstellen.

Malware in einer WordPress-Website zu erkennen und zu reparieren ist mühsam und zeitraubend. Sie müssen alle Ergebnisse durchgehen, um festzustellen, ob bösartiger Code ausgeführt wird.

Aber dank unseres WordPress-Malware-Scanners können Sie jetzt den langwierigen Prozess überspringen. Sobald Sie Ihre Website in unserem Tool WordPress Base64 Hack Cleanup einreichen, analysiert es sorgfältig alle Dateien auf Ihrer WordPress-Website auf schädlichen Code. Wenn Sie auch professionelle Hilfe benötigen, um “eval (base64_decode)” loszuwerden, kontaktieren Sie uns hier.

  • Schritt 1 – Stellen Sie sicher, dass Sie immer auf dem neuesten Stand der neuen Versionen von WordPress sind und bleiben. Wenn Sie eine ältere Version verwenden, ist es wichtig, WordPress auf die neueste Version zu aktualisieren.
  • SCHRITT 2 – Bevor Sie Ihre WordPress-Version aktualisieren, empfehlen wir Ihnen dringend, eine Sicherungskopie aller PHP-Dateien zu erstellen (kann dieses PHP-Sicherungsprogramm verwenden). Falls irgendetwas schief geht, haben Sie zumindest ein Backup der gesamten Website-Daten und verlieren nichts. Verschieben Sie daher alle Ihre Dateien in einen Sicherungsordner und erstellen Sie dann einen Backup-Tarball.
  • SCHRITT 3 – Decodierung von eval (base64_decode (“someObscureCharacterString”));

Beim Entschlüsseln des eval base64-Decodiercodes ist das manuelle Entfernen des injizierten Codes nicht wirklich schwierig. Sie können die gesamte Website einfach komprimieren und dann auf Ihr System herunterladen.

Entfernen Sie den Angriffscode

Die manuelle Entfernung schien ein langwieriger und zeitraubender Prozess zu sein. Ich habe darüber hinaus  beobachtet, dass die Webseite nach einigen Tagen wieder mit dem bösartigen Code infiziert wurde und automatisch zu bsi.bund.de umgeleitet wurde. Was jetzt?

Hier sind die Schritte, die verhindern, dass Ihre Website von eval base64 decode Funktionsaufruf erneut auftritt:

  • Stellen Sie sicher, dass Sie absolut der Sicherheit Ihres Hosts vertrauen können.
  • Versuchen Sie, mehr für dediziertes oder virtuelles dediziertes Hosting zu bezahlen. Umso mehr Menschen sich einen Hoster teilen, umso mehr Möglichkeiten bestehen in den Server einzubrechen.
  • Halten Sie Ihre eigenen Anwendungen / Bibliotheken von Drittanbietern auf dem neuesten Stand. 
  • Überprüfe deinen eigenen Code. Wenn Sie nicht genug Erfahrung haben, können Sie jemanden finden und dann dafür bezahlen. (Zum Beispiel uns)
  • Halten Sie Ihre Website in Versionskontrolle wie Git oder Subversion. Bewahren Sie Ihr Produktionsverzeichnis als Arbeitskopie auf, damit Sie Änderungen aus Ihrer Codebasis leicht erkennen können (aber sperren Sie den Zugriff auf Metadaten wie .git und .svn dirs).Wenn Ihre Website nach dem Bereinigen immer noch mit dem gleichen Code infiziert wird, ist es möglich, dass der Angreifer einige Dateien tief in einige Ordner versteckt hat, dieses vorgehen lässt ihm Zugriff auf Ihre Website, wann immer er möchte. In diesem Fall können Sie uns kontaktieren und unsere Sicherheitsexperten werden sich mit Ihnen in Verbindung setzen.

Tipps für ein sicheres WordPress in Zukunft

Hier sind ein paar allgemeine Tipps, um das Hacken Ihrer WordPress-Website in Zukunft zu vermeiden:

  • Halten Sie Ihre WordPress mit neuen Versionsversionen auf dem neuesten Stand.
  • Führen Sie nur WordPress-Plugins aus, die Sie unbedingt benötigen, und halten Sie sie auch auf dem neuesten Stand, da die meisten Sicherheitslücken von veralteten WordPress-Plugins herrühren. Bevor Sie ein Plugin herunterladen und installieren, vergessen Sie nicht, sich die Bewertungen und die Anzahl der aktiven Downloads anzusehen. Je mehr aktive Installationen es hat, desto sicherer ist das Plugin.
  • Aktivieren Sie auch die Benachrichtigungen für Updates zu den WordPress-Themes, Plugins und WordPress-Versionen. Je früher, desto besser.
  • Behalten Sie immer Ihre WordPress-Kerndateien und Ihre WordPress-Plugins auf dem neuesten Stand. Wenn Sie aufgefordert werden, ein Update auf Ihrem WordPress-Dashboard zu installieren, sollten Sie es sofort ausführen.
  • Halten Sie regelmäßige Backups des gesamten Website-Inhalts einschließlich Dateien, Medien und anderer Datenbankordner. Stellen Sie sicher, dass Sie eine wöchentliche und eine monatliche Sicherung aufbewahren.
  • Installieren Sie ein SSL-Zertifikat und verwenden Sie immer SSL, wenn Sie sich bei Ihrem WordPress Dashboard anmelden.
  • Nutzen Sie Secuflare