WordPress Redirect Hack

von

Kunden und Freunde melden sich bei Dir und teilen dir mit: „Hey, wenn ich deine Seite aufrufe, lande ich auf einem iPhone Gewinnspiel“. Du rufst Deine Seite auf, aber nichts passiert.

Aus der Reihe „Lustige und allgegenwรคrtige Hacks“: ๐——๐—ฒ๐—ฟ ๐—ฅ๐—ฒ๐—ฑ๐—ถ๐—ฟ๐—ฒ๐—ฐ๐˜ ๐—›๐—ฎ๐—ฐ๐—ธ:

Der Redirect Hack ist quasi schon so alt, wie WordPress selbst und es gibt ihn in unzรคhligen Variationen. Classic Redirection, via Search Results, Device spezifisch, Push Note Hack oder Geographie spezifisch.

Dabei ist das Vorgehen immer das Gleiche: Anstatt auf der eigentlichen Seite zu landen wird man auf Spamseiten, Malware oder anderen ekeligen Orten im Internet weitergeleitet.

๐—ช๐—ถ๐—ฒ ๐—ด๐—ฒ๐—น๐—ฎ๐—ป๐—ด๐˜ ๐—ฑ๐—ฒ๐—ฟ ๐—›๐—ฎ๐—ฐ๐—ธ ๐—ถ๐—ป ๐—บ๐—ฒ๐—ถ๐—ป๐—ฒ ๐—ช๐—ฒ๐—ฏ๐˜€๐—ฒ๐—ถ๐˜๐—ฒ?

Es gibt wie immer viele verschiedene und kreative Wege einen Redirect Hack auf einer Webseite zu platzieren:

๐˜๐˜ช๐˜ข ๐˜Ÿ๐˜š๐˜š = ๐˜Š๐˜ณ๐˜ฐ๐˜ด๐˜ด ๐˜š๐˜ช๐˜ต๐˜ฆ ๐˜š๐˜ค๐˜ณ๐˜ช๐˜ฑ๐˜ต๐˜ช๐˜ฏ๐˜จ:

Ich injiziere einen ausfรผhrbaren Code in deiner Seite, weil dein Plugin oder dein System diesen besonderen Fall nicht abfรคngt.

๐˜Š๐˜ฐ๐˜ฅ๐˜ฆ๐˜ด ๐˜ช๐˜ฏ ๐˜ฅ๐˜ฆ๐˜ณ .๐˜ฉ๐˜ต๐˜ข๐˜ค๐˜ค๐˜ฆ๐˜ด๐˜ด ๐˜ฐ๐˜ฅ๐˜ฆ๐˜ณ ๐˜ธ๐˜ฑ-๐˜ค๐˜ฐ๐˜ฏ๐˜ง๐˜ช๐˜จ ๐˜ฉ๐˜ช๐˜ฏ๐˜ต๐˜ฆ๐˜ณ๐˜ญ๐˜ข๐˜ด๐˜ด๐˜ฆ๐˜ฏ:

Die Weiterleitungen in einer .htaccess Datei kรถnnen recht umfangreich und kreativ gestaltet sein. Zielen aber immer darauf ab, dich auf eine andere Seite weiterzuleiten.

๐˜”๐˜ข๐˜ญ๐˜ธ๐˜ข๐˜ณ๐˜ฆ ๐˜š๐˜ช๐˜ต๐˜ฆ ๐˜๐˜ฆ๐˜ข๐˜ฅ๐˜ฆ๐˜ณ

Es gibt extra Plugins um JavaScript in den <head> Bereich der Seite zu platzieren. (Warum um Gottes Willen) Hier wird dann meist ein kodierter String platziert, der es dir schwieriger macht die Weiterleitung zu finden.

๐˜Ž๐˜ฆ๐˜ช๐˜ด๐˜ต๐˜ฆ๐˜ณ ๐˜ˆ๐˜ฅ๐˜ฎ๐˜ช๐˜ฏ

Ab und zu gibt es immer mal wieder Exploits, die es einem ermรถglichen Rechte zu erweitern. So kรถnnte man sich als Geister Admin zugriff auf deine Webseite verschaffen um dort Weiterleitungen einzurichten.

๐—ช๐—ผ ๐˜€๐˜‚๐—ฐ๐—ต๐—ฒ๐—ป, ๐˜„๐—ฒ๐—ป๐—ป ๐—บ๐—ฎ๐—ป ๐—ธ๐—ฒ๐—ถ๐—ป๐—ฒ ๐—”๐—ต๐—ป๐˜‚๐—ป๐—ด ๐—ต๐—ฎ๐˜?

Schau als erstes in den folgenden Dateien nach, ob diese verรคndert worden sind:

  • index.php
  • wp-config.php
  • wp-load.php
  • .htaccess (Schaue nach Sachen wie: RewriteCond ${QUERY_STRING} stock=order [NC] ((und jeder Seite, die nicht deine ist))
  • footer, header, functions (im aktiven Theme Ordner, Sachen wie „/*4nn23*/ add Include „\057ho\155e/ „
  • JavaScript Dateien kontrollieren (Suche nach Sachen wie :“eval(String.fromCharCode(118,97,32,180)“
  • Datenbank kontrollieren (Suche nach Strings wie: <script>, eval, base64_decode, gzinflate, preg_replace, str_replace,
  • Zieh dir eine lokale Kopie Deiner Seite und Suche in ordnern nach eval, base64_decode, gzinflate, preg_replace, str_rot13, eval

2025 benjamin-mylius.de
Impressum | Datenschutz | Kontakt