Spamlinks im Quelltext - wie bekomme ich die wieder raus

Mitten im Quelltext meines Blogs (z. Zt. im Wartungsmodus, deshalb hier kein Link) sind plötzlich unzählige Links enthalten, die im eigentlichen Blog unsichtbar und eben nur im Quellcode sichtbar sind.
Das ganze sieht so aus:

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Am Theme kann es nicht liegen. Das habe ich auch noch ohne Probleme in anderen Blogs im Einsatz. Website Defender hat keine Auffälligkeiten festgestellt. Wie kann ich jetzt am besten den Schadcode finden und eliminieren? Bin für jeden Tipp dankbar.

 

Ja, ich habe kürzlich verschiedene Plugins zum Testen installiert, aber alle wieder deaktiviert und die entsprechenden Dateien gelöscht.

Die Suche nach base64 ergibt unglaublich viele Treffer. Soviel Zeit habe ich gar nicht, mir das alles anzusehen...

 

Wie mir jetzt aufgefallen ist, funktioniert das Plugin WP Antivirus nicht mehr. Wenn ich auf manuellen Scan klicke, passiert nichts. Das externe Scanprogramm Sucuri (http://sitecheck.sucuri.net/scanner/) hat folgende Malware identifiziert:
Malware entry: MW:IFRAME:HD202



Description:
A hidden (and possibly malicious) iframe was identified. It is sometimes encoded with javascript to hide the fact that an iframe call is present. Loads malware from multiple sources:

fenkaololo.com
oooabterast0.co.cc
http://curem.net/t.php?id=455564
koska.sytes.net/phl/logs/index.php
(and many other domains). ​

This is used to load malware from external web sites while not being visible to the user.

Affecting:
Any web site

Clean up:
This malware is generally hidden on .js or .php files without heavy encoding.

Diese versteckten iframes wurden durch das Plugin "Link Log Matcher" verursacht. Ob das wirklich Malware ist, weiß ich nicht. Vorsichtshalber habe ich das plugin deaktiviert und anschließend samt aller Dateien gelöscht. Nach erneutem Scan mit Sucuri ist die Website dann angeblich auch wieder "Clean". Die versteckten (Spam)Links sind aber immer noch da. Also weitersuchen.

Hat jemand eine Idee, wie ich den Schadcode aufspüren und bereinigen kann ohne tagelang mit einem Editor sämtliche Dateien durchsuchen zu müssen? Gibt es da nicht irgend eine halbwegs "automatisierte" Suchmöglichkeit?

 

Demnach ist base64 Code also generell schädlich? Ich habe jetzt alles durchforstet und in 28 Dateien (keine index.php dabei) base64 Code gefunden. Allerdings nichts, was darauf hindeutet, dass es mit diesen ominösen Links zusammenhängt.
Ich bin mir sicher, dass der Blog nicht mehr richtig funktioniert, wenn ich das jetzt einfach alles lösche. In der Datenbank habe ich auch in der Tabelle wp_options einen Fund mit base64 code, der wohl mit den WP News im Dashboard zusammenhängt.
Leider bringt mich das alles nicht weiter :x

Ich habe noch diverse externe URL Scanner getestet, die alle nichts gefunden haben und den Blog als sauber bezeichnen. Die WP Plugins Antivirus und Exploit Scanner funktionieren beide nicht. Antivirus schickt mir täglich eine eMail, dass etwas nicht stimmt - ohne weitere Angaben. Der manuelle Scan wird aber wie gesagt nicht ausgeführt - null Reaktion. Exploit Scanner gibt nach einer Weile nur die Meldung aus: "An error occured. Please try again later." Das "Theme Authenticity Checker Plugin" meldet, dass das Theme OK ist.

So, jetzt bin ich mit meinem Latein am Ende. Das Ganze läuft wohl tatsächlich auf eine komplette Neuinstallation hinaus...

 

Ich nutze das Theme "Weaver" von http://wpweaver.info. Das habe ich auch bei anderen Blogs im Einsatz, wo das Problem nicht auftritt. Die liegen aber auf einem anderen Server, bei einem anderen Hoster.
Mittlerweile habe ich den Verdacht, dass der Server meines Webhosters (Hostgator) evtl. infiziert ist. Alle 3 WordPress Installationen, die sich auf dem selben Server befinden, sind von diesen versteckten Links im Quellcode betroffen. Und bei allen funktioniert das WP Antivirus Plugin nicht mehr. Sollte es am Server liegen (Shared Server), würde eine Neuinstallation auch nichts bringen.
Vielen Dank für Eure Hilfe!

 

Danke für den Tipp. 28 Treffer mit base64 soll heissen, dass die Zeichenfolge base64_decode insgesamt 28x in verschiedenen php Dateien gefunden wurde. 2 Treffer sind z. B. in der wp-app.php. der Code lautet:

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Aber da sehe ich nichts Verschlüsseltes. Das einzige, was ich in dieser Richtung gefunden habe, steht in der Datei simplepie.tests.php (3 Treffer), die Zum Plugin WP-o-Matic gehört. Hier ein Beispiel:

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Der Inhalt von "data" taucht dann ellenleng verschlüsselt in der Datei auf. Ich habe das mal decodieren lassen unter dem Link, den Du mir genannt hast. Das Ergebnis sah entschlüsselt noch krytischer aus als verschlüsselt und ergibt nur sinnlose Symbole. Das betreffende Plugin war nicht aktiviert und ich habe es nun komplett gelöscht. Die versteckten Links sind aber immer noch da.
Auch Dir vielen Dank für Deine Unterstützung.

 

Hostgator hat meinen Account überprüft und den Schadcode eliminiert:
[FONT=&quot]"Upon an investigation of your account, we have found that it was compromised and malicious code added. We have removed the malicious code. It appears that this was done using an exploit in an out of date script, which has since been updated." [/FONT]
Der Code befand sich in einem Unterverzeichnis des Plugins "WP-Popup-Scheduler".