Wurde gehackt.

Am besten wäre es ein sauberes Backup einzu spielen.

Div. Anleitungen findest du hier um Forum, einfach mal suchen

 

Hi,

hast du die üblichen verdächtigen (header.php, functions.php des Themes) gecheckt?
Gab es mal einen fremden Admin User (Stichwort WP GDPR Hack)?

Das Allgemeine Vorgehen ohne Backup Wiederherstellung ist hier beschrieben:
https://forum.wpde.org/threads/wss-php-gehackt.180961/#post-750981

Am einfachsten wäre es natürlich eine saubere Sicherung wiederherzustellen. Den Zeitpunkt des Hacks könntest du durch die Analyse der Accesslogs herausfinden.

Gruß

Pascal

 

wie er schon schreibt, JS aus keine weiterleitung.
Also wird da eine oder mehrer PHP dateien geändert worden sein, die eine weiterleitung auslösen.

 

Du kannst zum Beispiel mit Fillzilla eine saubere Version auf deinem Rechner mit der gehackten vergleichen.

Unter Ansicht hier Verzeichnisvergleich. Geänderte Dateien erkennst an der farblichen Darstellung auch neue PHP Scripte kannst du so im Verzeichnis leicht erkennen.

In einem abgesicherten System kannst du die veränderten PHP Scripte mit dem Original vergeleichen. Dabei lernst du, wie Hacker ihre Änderungen verstecken können. Zum Beispiel durch base64-kodierte Daten

http://php.net/manual/de/function.base64-decode.php

Du kannst keiner Datei auf dem System mehr trauen auch keinem Datensatz mehr. Wenn dein Provider eine Datensicherung hat, solltest du alles auf dem Server löschen! Die Scripte, die du nicht löschen kannst sollte dir dein Provider dir löschen.

Danach
- FTP Zugang neu
- MySQL neu
- Datensicherung zurück.

Und wenn du nicht alle Sicherheitslücken beseitigt hast, wirst du wenige Stunden später von vorne beginnen....