Hilfe benötigt zum Umgang mit Abusehinweis

    Hallo zusammen,


    ich habe gestern eine Mail von Netcup erhalten - von meinem Webhostingaccount sei Spam versendet worden. Seitdem ist meine Website offline (503). Es handelt sich um eine Wordpress-Instanz und es sieht so aus, als wäre das Kontaktformular auf der Website missbraucht worden. Folgende Abusemeldung (teilweise von mir verfremdet) habe ich bekommen:


    Code
    [entfernt]


    Was geht hieraus hervor? Wie genau wurde meine Seite missbraucht?


    Von Netcup heisst es in der Mail: "Um Ihren Webhostingaccount wieder aktivieren zu können, benötigen wir von Ihnen eine Stellungnahme, welche Sie über Ihr Kundencenter CCP unter https://www.customercontrolpanel.de an uns übermitteln können. Geben Sie darin bitte an, wie es zu dem Vorfall kam und welche Änderungen Sie aufgrund des Vorfalls vorgenommen haben. Sichern Sie uns in Ihrer Stellungnahme bitte desweiteren zu, dass kein erneuter Verstoß gegen die AGB erfolgen wird und alle schadhaften Dateien entfernt worden sind."


    Wie finde ich heraus, wie es zu dem Vorfall kam? Und wie gehe ich nun vor? Ich habe ein Backup der Seite von vor einigen Monaten (vorgenommen mit All-in-One WP Migration). Lösche ich alles, installiere Wordpress neu und spiele das Backup ein?


    Vielen Dank für jegliche Hilfe!

    Hast du evtl. in deinen WP-Kontaktformularen die Option aktiviert, dass derjenige, der etwas postet eine Kopie an seine eMail-Adresse erhalten kann?

    Das ist kritisch und kann als Spamversand missbraucht werden. Der Spammer gibt dann einfach seinen Spam ein und die Adresse an die er das verschicken will. (Und deine Seite verschickt das dann für ihn) Mit ein bisserl skripten kann der das dann ganz leicht automatisieren und deine Seite wird zu Spamschleuder.

    Im Zweifelsfall bitte den Support fragen, denn ich weiß ja nicht, ob der FTP-Zugang noch funktioniert. Wenn er es noch tut, kannst Du ein Backup der Seite machen. Eventuell geht das auch über den Filemanager im Plesk, der über das CCP erreichbar sein sollte (Archiv erstellen und herunterladen).

    Ebenso solltest Du die Datenbank sichern, um sie analysieren zu können.


    Es müsste auch ein Verzeichnis logs geben, in dem Du die Zugriffe auf den Webserver finden solltest. Da siehst Du möglicherweise welches Formular von welchem Modul hier betroffen war. Wenn Du Pech hattest, war es ein Hack. Du wirst dann in Deinem Backup zumeist entsprechende Zeichenketten und obskuren oder obfusziereten MIME-codierten Programmcode finden.In seltenen Fällen kann es auch ein ungeschickt designtes Form gewesen sein, bei dem man an andere Personen Mails schicken konnte, als diejenige, dies bekommen sollte.


    Wenn Dir die Expertise dafür fehlt, geh vom Hack aus.


    Die Datenbank und die Struktur solltest Du also dann „plätten“ und aus einem Backup von vor dem Problem wieder einspielen, dann sofort alle Updates machen, oder gleich alles neu machen.

    Wenn Dein Hostingpaket mit einem Wordpress-Toolkit ausgestattet ist, nütze es. Es kann Dir die Verwaltung vereinfachen und die Installation etwas „härten“.

    Es folgen die üblichen Tips, Captchas zu aktivieren und darauf zu achten, dass Dein Formular in gar keinem Fall Mails an externe Adressen etwas anderes verschickt, als Bestätigungen, und, dass an diese dort eben auch nichts angehängt werden kann. Mach bei E-Mailadressen eine doppelte Eingabe auch einen „validation“, damit sie nicht zu lang ist und nur die zulässigen Zeichen enthält. Beschränke den Text im Eingabefeld und überprüfe ihn. Am besten nur Klartext zulassen und HTML oder sonstige Codeteile blockieren... und mit einem Captcha-Timer eine Verzögerung einbauen.


    Es kann auch nicht schaden, für die von Dir verwendeten Module eine Google-Suche nach dem Modulnamen und hacked oder exploit zu machen, um zu sehen, ob die eingesetzte Version ein bekanntes Problem hat oder eventuell gar nicht mehr weiterentwickelt wird. Nimm nur gewartete Module und Themes, für die es regelmäßig Updates gibt.