1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress immer wieder mit Malware infiziert

Dieses Thema im Forum "Allgemeines" wurde erstellt von Deniska93, 2. August 2016.

  1. Deniska93

    Deniska93 New Member

    Registriert seit:
    2. August 2016
    Beiträge:
    3
    Zustimmungen:
    0
    Hallo liebes Forum,

    ich hoffe ihr könnt mir weiter helfen...

    Unsere Website ist mal wieder mit Malware infiziert worden. Zumindest sagt unser Provider Domainfactory das so und hat deswegen die Seite vom Netz genommen.

    Wir hatten dies in der letzten Zeit schon öfter und durch irgendwie fummeln hab ich es meist wieder hinbekommen, aber nun stehe ich auf dem Schlauch. Auch verstehe ich nicht, wie das immer und immer wieder passieren kann, nachdem die Seite nach der Bereinigung immer durch alle Sicherheitschecks und Überprüfungen gekommen ist ohne Fehler. Habe vor ca. 4 Wochen alle Plugins, das Theme (ein gekauftes von Themeforest) und auch Wordpress selber auf die neueste Version gebracht.

    Nun wurde die Seite wieder vom Netz genommen und von DF wurde ein Malware-Scan über die Seite geschickt. In der davon erstellten "infiziert.txt" steht folgendes drin:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Zusätzlich, wenn man nach unserer Website googled, kommt nicht der gewohnte Fund, sondern als Websiten Text stehen dann irgendwelche chinesichen Zeichen und sowas:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Ich konnte mich die letzten Male wenigstens noch am Backend anmelden (es wurden auch sämtliche Passwörter geändert beim letzten Mal, WP Passwort, Domainfactory Passwort, FTP Passwort, etc.) und habe dann ein Backup von UpdraftPlus wiederhergestellt. Dieses Mal wurde die Seite ja komplett offline geschaltet und ich kann mich daher auch nicht mehr anmelden.

    Kann jemand von Euch anhand der oben genannten "infiziert.txt" erkennen, wo das Problem liegt und wie ich dieses beheben kann? Und evtl. auch wo die Sicherheitslücke ist? Ich kann auswendig leider nicht alle Plugins etc. aufzählen, die installiert sind, dazu müsste ich mich erst einloggen und schauen.

    Vielen Dank im Voraus für Eure Hilfe!

    LG Dennis
    (PS.: Ich bin kein Webentwickler oder sonstiges, sondern Netzwerk-Administrator, kenne mich daher mit coden nicht groß aus, sondern nur die Basics!)
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582

    Als Admin solltest du wissen was du machen solltest - keiner Datei mehr trauen - sprich _l ö s c h e n_

    warum möchtest du dich als Admin noch irgendwo anmelden? wenn du dies beim letzten mal gemacht hast - musst du deinen Rechner erst einmal auf Schadecode prüfen.

    Wenn du alles gelöscht hast - und eine Datensicherung ohne Schadecode zurückkopiert hast (Backup) musst du die Sicherheitslücken suchen und beseitigen. In der Regel findest du diese in deinem gekauften Template von Themeforest. Evtl. spielt dir auch ein Plugin einen Streich.

    Wenn du beim letzen mal nicht alles gelöscht hast - wird der Angreifer sich vermutlich Scripte installiert haben über die er die Angriffe weiterhin fährt.

    Dienstleister können dir helfen.

    Viel Glück

    Ralf
     
  3. Edi

    Edi Well-Known Member

    Registriert seit:
    26. Juli 2006
    Beiträge:
    3.728
    Zustimmungen:
    1
    Die Frage ist halt, was Du gefummelt hast. Die Website neu aufgesetzt? Teile davon ersetzt? Ein Backup eingespielt?

    Zudem müsstest Du wissen, wie die Installation infiziert worden ist. Dies könnte übrigens durchaus auch durch eine andere Installation auf dem Server geschehen sein.

    Mit der Datei mit angeblich infizierten oder einfach veränderten Dateien kann ich wenig anfangen. Keine Ahnung, was, ohne zu wissen, welcher Scanner zum Einsatz gekommen ist, unter Suchmuster zu verstehen ist... Und womit beispielsweise abgeglichen worden ist.
     
  4. Deniska93

    Deniska93 New Member

    Registriert seit:
    2. August 2016
    Beiträge:
    3
    Zustimmungen:
    0

    Hallo,

    mein Rechner ist clean, sehr sicher sogar, IT-Security mache ich beruflich und habe den Rechner auf sämtliche möglichen Schäden überprüft.

    Letztes mal habe ich tatsächlich viele Dateien und Plugins gelöscht und anschließend das Backup wieder eingespielt. Danach lief es ja einwandfrei bis heute..

    Die Frage ist ja, wenn ich bspw. die komplette WP Installation lösche und eine neue Installation dort installiere, kann ich das Backup von UpdraftPlus einfach wiederherstellen? Funktioniert das? DF selber rückt keinerlei Backups vom Webspace raus leider.. Auf dem Webserver wurde nichts anderes installiert in der letzten Zeit, nur unser Wordpress läuft dadrauf.
     
  5. Deniska93

    Deniska93 New Member

    Registriert seit:
    2. August 2016
    Beiträge:
    3
    Zustimmungen:
    0
    Plugins gelöscht (auf Dateiebene über FTP) und anschließend ein Backup über UpdraftPlus eingespielt. Hat wie gesagt funktioniert bis gestern.

    Also von uns wurde dort nichts weiter installiert. Die Website liegt ja bei Domainfactory, meinst Du es kann sein, dass von denen ein anderer Kunde auf dem selben Server irgendwas installiert hat? Ich glaube das aber eher nicht. Welchen Scanner die dort einsetzen kann ich leider auch nicht beantworten..
     
  6. Edi

    Edi Well-Known Member

    Registriert seit:
    26. Juli 2006
    Beiträge:
    3.728
    Zustimmungen:
    1
    Das Löschen der Plugins reicht nicht, wenn Dateien sonst irgendwo eingeschleust oder infiziert worden sind. So oder so: Du könntest als erstes also schauen, ob Dateien auf dem Server sind, die nicht zu WordPress, dem Theme usw. gehören. Dann, ob Dateien verändert worden sind (nicht dasselbe Datum haben wie die übrigen gleichzeitig installierten Dateien).

    Möglich ist es. Aber darüber spricht kein Hoster gern. Möglich ist aber auch ein unzureichend geschützter Server (aus welchen Gründen auch immer).

    Wichtig wäre, die Art der Infektion zu kennen. Damit würde auch klarer, wie sie zustande gekommen sein könnte.
     
  7. Edi

    Edi Well-Known Member

    Registriert seit:
    26. Juli 2006
    Beiträge:
    3.728
    Zustimmungen:
    1
    Ja, das kannst Du.
     
  8. Benzli

    Benzli Well-Known Member

    Registriert seit:
    2. Januar 2016
    Beiträge:
    510
    Zustimmungen:
    0
    Ich bin kein Profi in Schadsoftware aber eines frage ich mich, wurde jemals das Passwort der Domain oder der WP Installation geändert? Denn das zu hacken dürfte ja das einfachste sein und dann kannst du installieren was du willst. Solange man den User und das Passwort hat, kommt man immer rein
     
  9. SuMu

    SuMu Well-Known Member

    Registriert seit:
    5. Januar 2006
    Beiträge:
    6.301
    Zustimmungen:
    84
    Wenn es nur ein "kleines" Blog ist, würde ich es komplett frisch aufsetzen, mit leerer Datenbank ...
     
  10. Edi

    Edi Well-Known Member

    Registriert seit:
    26. Juli 2006
    Beiträge:
    3.728
    Zustimmungen:
    1
    Das belegt auch:

    https://blog.sucuri.net/2016/05/sucuri-hacked-report-2016q1.html

    Schätzungsweise 3/4 oder sogar mehr der Wartungsarbeiten einer WordPress-Installation sind im Zusammenhang mit Sicherheitsfragen nötig. Tendenz steigend. Was, nebenbei bemerkt, immer wieder zu Diskussionen Anlass gibt, wie lange es "klassische" Installationen noch geben wird.
     
  11. Benzli

    Benzli Well-Known Member

    Registriert seit:
    2. Januar 2016
    Beiträge:
    510
    Zustimmungen:
    0
    Tja, wenn es 80% nicht sind, dann könnten es die restlichen 20% ja noch immer sein. Und der oben verlinkte Bericht zeigt ja auf das es auch solche Hacks gibt.
    Warum also das naheliegenste und einfachste einfach ignorieren? Ich würde auf jedenfall die Passwörter als allererstes wechseln und dann erst den Rest.
    Nicht das es zwingend am Passwort liegen muss, aber warum eine Schnittstelle einfach ignorieren?
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden