mo.php - Angriff auf Website?

Hallo zusammen,

ich habe von meinem Provider (1&1) die Meldung bekommen, dass der Virenscanner zugeschlagen hat und zwar bei folgender Datei:
/wp-content/languages/mo.php

Dies ist nun schon zum zweiten mal der Fall. Beim ersten mal habe ich diese Datei gelöscht und sicherheitshalber alle Passwörter etc. geändert. Nun eine Woche später taucht der Fal erneut auf. Leider kann ich weder hier im Forum, noch über Google etwas gescheites zu dem Thema finden.

Sobald ich versiche die Datei mittels FTP auf meinen Desktop zu laden um diese mir anzuschauen, schlägt ebenfals mein Virenscanner (Kaspersky) zu und verschiebt diese sofort in die Quarantäne.


Habt ihr eine Ahnung wie das zustande kommt, oder hattet ihr bereits einen solchen Fall? Ich weiß leider nicht was ich tun könnte.


Beste Grüße

 

Oh je oh je, das klingt nicht sonderlich toll.. Habt ihr Hinweise für mich, oder gute Anleitungen wie man sowas beheben kann?
Ich weiß nichtmal wo und wie ich nach Sicherheitslücken gucken sollte..

 

Also ich habe in der Tat in letzter Zeit einiges Verändert, da ich meine Seite zur Zeit komplett überarbeite. Sprich Premium-Theme, Plugins etc.. Daher ist es leider mit einem Backup so schwierig, da Tag für Tag Änderungen verloren gehen würden. Meinen PC habe ich komplett auf Viren geprüft und nichts gefunden, somit auch nicht bei den lokalen Backup-Datein.

Den WP Core habe ich lediglich über die WP-Oberfläche neuinstalliert. Und Plugins und WP wurde immer aktuell gehalten.

Die schadhafte Datei namens "mo.php" gibt es so nicht und befand sich plötzlich unter /wp-content/languages/
Dort sollte aber keine PHP-Datei vorkommen. Also wurde die dort erstellt und zwar nicht von mir. Jemand aus einer Facebook-Gruppe erwähnte "Backdoor" oder "Webshell" und somit könnte vieles infiziert sein.

 

Meine Antworten müssen andauernd moderiert werden, daher dauert es so lange.. Ist nicht sonderlich förderlich für die Diskussion. Hier mein Beitrag von gestern Abend: