Kunden und Freunde melden sich bei Dir und teilen dir mit: „Hey, wenn ich deine Seite aufrufe, lande ich auf einem iPhone Gewinnspiel“. Du rufst Deine Seite auf, aber nichts passiert.
Aus der Reihe „Lustige und allgegenwärtige Hacks“: 𝗗𝗲𝗿 𝗥𝗲𝗱𝗶𝗿𝗲𝗰𝘁 𝗛𝗮𝗰𝗸:
Der Redirect Hack ist quasi schon so alt, wie WordPress selbst und es gibt ihn in unzähligen Variationen. Classic Redirection, via Search Results, Device spezifisch, Push Note Hack oder Geographie spezifisch.
Dabei ist das Vorgehen immer das Gleiche: Anstatt auf der eigentlichen Seite zu landen wird man auf Spamseiten, Malware oder anderen ekeligen Orten im Internet weitergeleitet.
𝗪𝗶𝗲 𝗴𝗲𝗹𝗮𝗻𝗴𝘁 𝗱𝗲𝗿 𝗛𝗮𝗰𝗸 𝗶𝗻 𝗺𝗲𝗶𝗻𝗲 𝗪𝗲𝗯𝘀𝗲𝗶𝘁𝗲?
Es gibt wie immer viele verschiedene und kreative Wege einen Redirect Hack auf einer Webseite zu platzieren:
𝘝𝘪𝘢 𝘟𝘚𝘚 = 𝘊𝘳𝘰𝘴𝘴 𝘚𝘪𝘵𝘦 𝘚𝘤𝘳𝘪𝘱𝘵𝘪𝘯𝘨:
Ich injiziere einen ausführbaren Code in deiner Seite, weil dein Plugin oder dein System diesen besonderen Fall nicht abfängt.
𝘊𝘰𝘥𝘦𝘴 𝘪𝘯 𝘥𝘦𝘳 .𝘩𝘵𝘢𝘤𝘤𝘦𝘴𝘴 𝘰𝘥𝘦𝘳 𝘸𝘱-𝘤𝘰𝘯𝘧𝘪𝘨 𝘩𝘪𝘯𝘵𝘦𝘳𝘭𝘢𝘴𝘴𝘦𝘯:
Die Weiterleitungen in einer .htaccess Datei können recht umfangreich und kreativ gestaltet sein. Zielen aber immer darauf ab, dich auf eine andere Seite weiterzuleiten.
𝘔𝘢𝘭𝘸𝘢𝘳𝘦 𝘚𝘪𝘵𝘦 𝘏𝘦𝘢𝘥𝘦𝘳
Es gibt extra Plugins um JavaScript in den <head> Bereich der Seite zu platzieren. (Warum um Gottes Willen) Hier wird dann meist ein kodierter String platziert, der es dir schwieriger macht die Weiterleitung zu finden.
𝘎𝘦𝘪𝘴𝘵𝘦𝘳 𝘈𝘥𝘮𝘪𝘯
Ab und zu gibt es immer mal wieder Exploits, die es einem ermöglichen Rechte zu erweitern. So könnte man sich als Geister Admin zugriff auf deine Webseite verschaffen um dort Weiterleitungen einzurichten.
𝗪𝗼 𝘀𝘂𝗰𝗵𝗲𝗻, 𝘄𝗲𝗻𝗻 𝗺𝗮𝗻 𝗸𝗲𝗶𝗻𝗲 𝗔𝗵𝗻𝘂𝗻𝗴 𝗵𝗮𝘁?
Schau als erstes in den folgenden Dateien nach, ob diese verändert worden sind:
- index.php
- wp-config.php
- wp-load.php
- .htaccess (Schaue nach Sachen wie: RewriteCond ${QUERY_STRING} stock=order [NC] ((und jeder Seite, die nicht deine ist))
- footer, header, functions (im aktiven Theme Ordner, Sachen wie „/*4nn23*/ add Include „\057ho\155e/ „
- JavaScript Dateien kontrollieren (Suche nach Sachen wie :“eval(String.fromCharCode(118,97,32,180)“
- Datenbank kontrollieren (Suche nach Strings wie: <script>, eval, base64_decode, gzinflate, preg_replace, str_replace,
- Zieh dir eine lokale Kopie Deiner Seite und Suche in ordnern nach eval, base64_decode, gzinflate, preg_replace, str_rot13, eval
