Virenüberprüfung von Dateien, Zugangsdaten - WIE ?

Lars Schmidt · 29. Oktober 2019

Hallo zusammen,
es wäre schön, wenn ihr mir bei der Beantwortung folgender Fragen betreffs einer Domain helfen könntet:
a) Wie bzw. womit (welches Plugin ?) kann ich eine Datei (manuell) auf Viren prüfen und gflls ändern ?

b) Wie kann ich Zugangsdaten betreffs FTP und Datenbanken auf Viren prüfen und gflls. ändern ?
Vielen Dank im voraus.

Lars

b3317133 · 29. Oktober 2019

WordPress Core, Theme, Plugin Dateien kann man per FTP herunterladen und lokal mit sauberen frischen Archiven abgleichen, dafür gibt es sog. "diff" Programme, z.B. für Windows ExamDiff Pro, WinMerge o.ä.

Zugangsdaten prüft man nicht auf Viren, man ändert sie beim Hosting-Anbieter und die Datenbank-Zugangsdaten zusätzlich noch in der Datei wp-config.php

Das allgemeine Vorgehen mit allen notwendigen Schritten bei einem Hack ist z.B. hier beschrieben.

Einen allgemeinen Scan "von aussen" kann man z.B. via sitecheck.sucuri.net oder virustotal.com o.ä. machen, aber wenn da nichts angezeigt wird, heisst das noch lange nicht, dass alles auch sauber ist.

Wie genau siehst Du einen Virus o.ä. bei Dir?

Marcus[IS] · 30. Oktober 2019

Hi,

@b3317133 hat ja schon die richtige Vorgehensweise beschrieben.

Spart mir die Arbeit.

Noch ergänzend zu Punkt a)
Mir ist kein Plugin bekannt, welches gehackte Blogs wieder reparieren kann.
Leider ist bei einigen Plugins die Namensgebung Antivirus etwas unglücklich gewählt, da man schnell denkt sie arbeiten wie Antivirenprogramme auf dem heimischen Rechner, ist aber nur meine Meinung.

Eines haben diese Plugins aber meist gemeinsam. Sie sollen Hackerangriffe erschweren und die Admins informieren, wenn sich etwas ungewöhnliches in den Dateien auftut, wie zum Beispiel eine Dateiänderung.

Was auch unerlässlich wäre, wenn auch ziemliche Arbeit, mal einen Blick in das Zugriffslog (access.log) zu werfen.
Die meisten Provider bieten so was an. Entweder kann man es im Kundenbereich beim Provider abrufen, oder direkt vom Webspace herunterladen.
Dort finden sich bei einem Hack immer ziemlich verräterische Spuren, wie dieser erfolgt ist.

Lars Schmidt · 30. Oktober 2019

Vielen Dank für Eure Antwort. Mein Hosting-Anbieter hat mich darauf aufmerksam gemacht - obgleich ich selbst nicht "erkennen"
bzw. bemerken kann, dass ein Virus vorliegt. Ich habe Wordfence und Cerber als Schutz installiert.
Wie und was ich jedoch genau im wp-config und access-log tun / erreichen kann, ist mir allerdings nicht so geläufig.

Lars Schmidt · 30. Oktober 2019

Ich bin mal so frei und kopiere den HACK-Bericht hier her um meine Fragen dazu stellen zu können.
[ " Definitiv ein Hack.

Eine Datei dieses Namens an dieser Stelle wird in der Regel eingebaut, um Weiterleitungen o.ä. bzgl. Phishing ("Benutzerdatenklau") zu hinterlegen.

Weiteres Vorgehen: Anhand Server-Logs & Backups feststellen, wann/woher der Hack kam, Lücke identifizieren, # WIE KANN MAN HIER DEN ORT / LÜCKE FESTSTELLEN ? # Lücke schliessen. # UND WIE SCHLIESST MAN DIESE MÖGLICHE LÜCKE ? # Wenn das erledigt ist: Alle Systemdateien von WordPress ersetzen # BEKANNT IST MIR, DASS ICH DURCHS ÄNDERN DER PLUGINNAMEN EINEN FEHLER ODER HACK BEHEBEN KANN - ABER SONST ... ? ? # , dafür wp-admin/ und wp-includes/ komplett löschen. # WAS PASSIERT, WENN MAN DAS TUT ?? # Alle Plugins durch saubere Versionen ersetzen, dafür alle Ordner in wp-content/plugins/ löschen, # ALLE ORDNER LÖSCHEN ?
UND DANACH GEHT DANN NICHTS MEHR ?? # gleiches gilt für das Theme. Alle PHP-Dateien in wp-content/uploads/ suchen/löschen. Alle Passwörter ändern, FTP, MySQL, WordPress Accounts, usw. " # WO LERNT MAN DAS: CONTENT / UPLOADS SUCHEN UND LÖSCHEN - UND .... FTP / MYSQL ... ÄNDERN .... ??? - ICH WOLLTE AUCH SCHON MAL MEINE DOMAINS IN EINEN SEPARATEN ACCOUNT SETZEN .....# ]

Gehts auch vielleicht irgendwie einfacher ?

Gruß Lars

maxe · 30. Oktober 2019

Zitat von Lars Schmidt: ↑

Anhand Server-Logs & Backups feststellen, wann/woher der Hack kam, Lücke identifizieren, # WIE KANN MAN HIER DEN ORT / LÜCKE FESTSTELLEN ? # Lücke schliessen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Hier die access.logs analysieren und verdächtige Aktivitäten überprüfen.

Zitat von Lars Schmidt: ↑

dafür wp-admin/ und wp-includes/ komplett löschen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

lösche die beiden Ordner und ersetze sie mit denen aus dem neuen WP Download.

Zitat von Lars Schmidt: ↑

gleiches gilt für das Theme.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

auch da mit frischem Download ersetzen.

Gleiches gilt übrigens auch für die Dateien im WP root.

Zitat von Lars Schmidt: ↑

Alle PHP-Dateien in wp-content/uploads/ suchen/löschen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

da haben i.d.R. php Dateien nichts verloren, deshalb löschen.

Zitat von Lars Schmidt: ↑

Alle Passwörter ändern, FTP, MySQL, WordPress Accounts, usw.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Passwörter (FTP, MySQL Datenbank, Hoster-Login etc.) änderst du 1. beim Hoster (KAS o.ä.) und 2. direkt in WP.

b3317133 · 30. Oktober 2019

Zitat von Lars Schmidt: ↑

Gehts auch vielleicht irgendwie einfacher ?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ja, wenn Du jemanden damit beauftragst, der sowas täglich macht.

Alternativ jeden einzelnen Punkt der o.g. Liste recherchieren, ausprobieren, dazu nachlesen und selbst dazulernen.

Wie genau sieht der Hosting-Anbieter einen Virus o.ä. bei Dir?

PS. Plugins, wie in Deinem Fall Wordfence und Cerber, die sich in den Funktionen überschneiden, gleichzeitig zu nutzen, macht wenig Sinn und bringt eher Probleme mit sich.

Lars Schmidt · 31. Oktober 2019

Vielen Dank für Eure Antworten.
Nun etwas konkreter:
Mein Hoster teilt mir zunächst folgendes mit:
[ Bei einem routinemäßigen Virenscan wurden in Ihrem Account Dateien mit Schadcode gefunden. Um die Besucher Ihrer Webseite zu schützen, haben wir diese Dateien nach Möglichkeit umbenannt und gesperrt. Falls die hier genannten Möglichkeiten nicht durch geführt werden können, so können Sie den Webspace leeren. ]

# Was bewirkt das, wenn ich den Webspace leeren würde ?

Ich sende euch anbei mal ein Beispiel zu - es handelt sich um eine Subdomain: #

[ /zeichnungxxx.de.xxxxx-flyer-maker.de/920husn8.php

/zeichnungxxx.de.xxxxx-flyer-maker.de/8c9skg3p.php

/zeichnungxxx.de.xxxxx-flyer-maker.de/mnbo3gzj.php

/zeichnungxxx.de.xxxxx-flyer-maker.de/vj20egn6.php ... ]

# Vermutlich muss ich hier irgend etwas im PHP-Bereich unternehmen - und was genau ?
Maxe hat oben erwähnt: [ Alle PHP-Dateien in wp-content/uploads/ suchen/löschen ]
Okay, das hab ich verstanden. Kann es sein, dass dieses Problem auch noch anders angegangen werden muß,
z.B. an einem anderen Ort - außer im "wp-content/uploauds" ?

Und kann auch eine erneute Aktualisierung (die schon eine Weile zurück liegt) im Backend der Domain das ganze Problem lösen ?
Wie gehe ich mit dem Problem um, wenn es diese Domain gar nicht mehr gibt bzw. bei Denic gelöscht wurde ? #

Gruß Lars

WPDE.org

Virenüberprüfung von Dateien, Zugangsdaten - WIE ?

Lars Schmidt Member

b3317133 Well-Known Member

Marcus[IS] Well-Known Member

Lars Schmidt Member

Lars Schmidt Member

maxe Well-Known Member
Ehrenmitglied

b3317133 Well-Known Member

Lars Schmidt Member

Nützliche Suchen

Virenüberprüfung von Dateien, Zugangsdaten - WIE ?

Lars Schmidt Member

b3317133 Well-Known Member

Marcus[IS] Well-Known Member

Lars Schmidt Member

Lars Schmidt Member

maxe Well-Known Member Ehrenmitglied

b3317133 Well-Known Member

Lars Schmidt Member

maxe Well-Known Member
Ehrenmitglied