Neuinstallation WP 4.0 aus dem WP-Backend

Hallo,

ein Dummy braucht mal wieder rat.

Wie es scheint, wurde meine WP-Installation gehackt. Auf dem Server gibt es einige WP-Datein, die vermutlich mit Schadcode versehen sind.

Da ich diesen Schadecode nicht entfernen kann und auch nicht weiss, welche Dateien wirklich nicht mehr WP-Originale sind, dachte ich mir ich nutze die WP-Backendfunktion im Dashborad unter Wordpress-Aktualisierungen "erneut installieren".

Frage 1:
Kann ich das ohne Probleme für den Blog einfach machen ? Oder muss ich dabei etwas beachten oder vorbereiten ?

Frage 2:
Werden damit alle WP-Datein auf dem Server überschrieben ?
Wenn ja, sollten alle manipulierten Datei durch das Überschreiben ja nicht mehr "wirken".

Frage 3:
Wie könnte ich - vorausschauend - aktuelle WP-Datein "vorhalten" (also nicht installierte Datein), um Sie dann mit eventuell manipulierten vergleichen oder austauschen zu können ?

Gruß
FRF

 

Danke für den Versuch ...

... aber mit dieser Antwort ist mir überhaupt nicht geholfen !

 

Ein paar Detailinfos. Vielleicht können die Experten damit mehr anfangen !

Fund 1:

FUNDE: 1x
#######################################
/xxxxxxxxxxxxx/wordpress/wp-admin/js/revisions.min.js
#######################################
Changed -> 15.09.2014 13:25:05 +0200
Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 10)
1 -> WARNING: JS-File mit redirect -> window.wp=window.wp\|\|\{\},function\(a\)\{varb\;b=wp.revisions=\{model:\{\},view:\{\},controller:\{\}\},b.settings=_.isUndefined\(_wpRevisionsSettings\)\?\{\}:_wpRevisionsSettings,b.debug=!1,b.log=function\(\)\{window.console\&\&b.debug\&\&window.console.log.apply\(window.console,arguments\)\},a.fn.allOffsets=function\(\)\{varb=t

Frage: Ist das ein gewolltes "redirect" (also in der ursprünglichen Datei vorgesehen) oder ist das ein "hack" ?

Fund 2:

FUNDE: 1x
#######################################
/xxxxxxxxx/wordpress/wp-content/plugins/yet-another-related-posts-plugin/lang/words-fr_FR.php
#######################################
Changed -> 29.09.2014 10:36:00 +0200
Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 10)
0 -> WARNING: 3 Zeilen, 1x boeser Code -> \$overusedwords=array\('','a','abandonner','abattre','abord','aborder','abri','absence','absolu','absolument','accent','accepter','accompagner',
'accomplir','accord','accorder','accrocher','accueillir','accuser','acheter','achever','acte','action','admettre','adresser',\'affai

Frage: könnte ich einfach das Plugin deinstallieren und neu installieren ?

Fund 3:

FUNDE: 1x
#######################################
/xxxxxxxxxxx/wordpress/wp-includes/class-smtp.php
#######################################
Changed -> 22.04.2014 20:22:22 +0200
Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 10)
412 -> WARNING: hacked by -> //HackedbyLanceRushing

Frage:
Hier wird auf einen Hack hingewiesen. Ist die Datei (class-smtp.php ) eine offizielle WP-Datei ? Recherchen haben mir eröffnet, dass es sich wohl um eine Datei handelt, die Emailversandt direkt aus der WP-Seite ermöglicht und dass WP von Haus aus diese aber gar nicht zulässt. Kann diese Datei einfach gelöscht werden, wenn meine Vermutung richtig ist ? Wenn es eine offizielle WP-Datei ist, was mache ich dann damit ?

Gruß
FRF

 

Wie der Angreifer "herein" gekommen ist, ist mir nicht bekannt.
Welchen Einfluß das auf die "Datenbank" hat, weiss ich auch nicht.
Ich bin ein totaler Laie und betreibe den Blog seit fast 2 Jahren allein.

Es geht ja nicht um 1000 Datein, sondern um die 3 Funde,die mein Provider (DomainFactory) über einen Scan in einer Datei (infiziert.txt) verifiziert hat.

Dieser Malware-Scan wurde angestoßen, weil ein Hack vermutet wurde, nachdem über meinen Email-Account (auch bei DF) viele Emails an mir unbkannte Empfänger versendet wurden. Erfahren habe ich davon erst, nachdem ich Massenweise Rückläufer "Mail delivery failed" erhalten hatte.

Ich denke mir - eben als Laie - dass es hilfreich sein könnte, die Datein in den "Funden" zu säubern oder zu ersetzen (sofern es sich dort tatsächlich um Schadecode handelt) oder eben mit einer Neuinstallation von WP, die entsprechenden Datein wieder in der WP-Urversion zu haben.

Gruß
FRF

 

Problem habe ich allein - bzw. mit Hilfe von Technikern meines Providers - lösen können.
Die Hilfe hier im Forum war eher "nicht vorhanden", wie leider schon so häufig festgestellt werden musste.

Schade ... das macht so ein Forum überflüssig.

FRF