1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Anfängerfrage wp-config.php malware-Prüfung?

Dieses Thema im Forum "Allgemeines" wurde erstellt von Knassig, 11. November 2021.

  1. Knassig

    Knassig New Member

    Registriert seit:
    11. November 2021
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo allerseits!
    Ich bin neu hier im Forum und neu bei WP, meine Seite ist erst seit ein paar Wochen im Aufbau. Nun bekam ich eine Nachricht von meinem Provider, dass das Toolkit einen Vorgang nicht in 660 Sekunden abschließen konnte und daher der Verdacht auf malware besteht. Ich soll die Datei wp-config.php auf Malware-Code prüfen oder einen Virencheck durchführen.
    Also, ich bin technisch VÖLLIG unbedarft (aber lernfähig :)). Wie mache ich das? Einen normalen Virencheck des Computers habe ich durchgeführt, dabei wurde nichts gefunden.
    Wo finde ich diese Datei und wie sehe ich, ob da malware-Code drin ist?
    Bitte so erklären, dass es euer 84-jähriger Opa verstehen würde, DANKE!!!

    Knassig
     
  2. meisterleise

    meisterleise Well-Known Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    469
    Zustimmungen:
    92
    Was ist das für ein Provider? Warum hat der nicht selbst einen Virenscan? Und warum meint der, Mailware ließe sich einfach dadurch eintdecken, indem man einen Blick in die config.php wirft? Das waren rhetorische Fragen.

    Eine erste schnelle Prüfung könntest du hier durchführen: sucuri
    Danach oder außerdem könntest du ein Plugin zur Prüfung installieren, bspw. WordFence
     
  3. Knassig

    Knassig New Member

    Registriert seit:
    11. November 2021
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo Meisterleise,
    danke für die schnelle Hilfe! Der Provider ist PixelX. Ich habe eben bei sucuri geschaut, da wurde nichts Verdächtiges gefunden. WordFence werde ich installieren, außerdem auch hhttps statt http, da hat mich sucuri drauf hingewiesen.
     
  4. worddummy

    worddummy Member

    Registriert seit:
    24. November 2021
    Beiträge:
    5
    Zustimmungen:
    0
    https umstellung muss Provider machen. Denke nicht das Du darauf Zugriff hast.
    Wordfance lasse ich auch gerade laufen, bringt aber leider nicht den gewünschten Erfolg weil es unzählige Dateien als High auflistet von denen man nur ahnen kann das sie vom Template sind. Sucuri hat bei mir auch alles als sauber angezeigt. Google auch.
    Blöderweise wird die site url in der Datenbank ständig wieder geändert. Das produziert natürlich linkfehler.
    In den Logs ist auch nicht erkennbar welches script das macht. Eigentlich sollten die ganzen Hacks und ihre Auswirkungen bekannt sein.
    Leider ist dazu im Netz nicht viel zu finden. Denke nicht das ich der Einzige bin der betroffen ist.
     
  5. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.663
    Zustimmungen:
    122
    Das ist aber eher ein schlechtes Zeichen. Normalerweise ist das nicht so. Das klingt tatsächlich so, als wäre deine Seite gehackt worden.

    Poste Mal einen Screenshot dieser "High" Ergebnisse.
     
  6. worddummy

    worddummy Member

    Registriert seit:
    24. November 2021
    Beiträge:
    5
    Zustimmungen:
    0
    Wären eine Menge Screenshots.
    Mann muss doch in irgendwelchen Logs feststellen können welche Datei für die Datenbankänderung verantwortlich ist.
    Die mysql log zeigen nur die Änderungen an aber nicht das script welches es ausführt.
     
  7. worddummy

    worddummy Member

    Registriert seit:
    24. November 2021
    Beiträge:
    5
    Zustimmungen:
    0
    die meisten versuche wp-login kommen aus ohio von einem bzw. mehreren amazon IPs.
    wordfence hat die meisten blockiert
     
  8. worddummy

    worddummy Member

    Registriert seit:
    24. November 2021
    Beiträge:
    5
    Zustimmungen:
    0
    Die ganzen Tools versagen. Die ganzen Logs liefern keinen Hinweis auf die Lücke.
     
  9. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    9.468
    Zustimmungen:
    1.221
    Wenn die Installation "gut durchgehackt" ist, wovon man anhand Deiner Beschreibung mit u.a. "eine Menge Screens mit High Ergebnissen" wohl ausgehen muss, dann kann das beste Tool in WordPress nichts ausrichten, da es immer von einem der Hacks ausgehebelt werden kann und wird. Siehe Hase und Igel, ein Hack ist immer schneller.

    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben, das könntest Du mit jemandem mit WordPress Erfahrung bei Dir im näheren Umfeld zusammen durchgehen.

    Dabei am Wichtigsten wäre, die für den Hack genutzte(n) Lücke(n) zu ermitteln, damit das nicht wieder passiert.
     
    #9 b3317133, 27. November 2021
    Zuletzt bearbeitet: 27. November 2021
    danielgoehr gefällt das.
  10. worddummy

    worddummy Member

    Registriert seit:
    24. November 2021
    Beiträge:
    5
    Zustimmungen:
    0
    Es wäre eh sinnvoller nicht auf Tools zu setzen sondern zu beschreiben wo diese Lücken genau sind.
    Habe schon nach den Symptomen gesucht aber nicht viel brauchbares gefunden. Denke nicht das ich der einzige Betroffene bin.
    Das einzige was passiert ist das die siteurl in der DB sich in unregelmässigen Abständen ändert. Es werden subdomains die auf dem Server theoretisch erreichbar sind eingetragen. Da diese Domains nicht mehr erreichbar sind führt es zu Fehlern. Es muss also ein Script sein das DB Zugriff hat und dieses Feld ändert. Server ist neu und aktuell mit komplett neuen Passwörtern. WP und Plugins sind auf neusten Stand.
    Vermutlich ist da mal was zwischen den Updates reingekommen.
     
  11. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    9.468
    Zustimmungen:
    1.221
    Die Lücken über die der Hack kam findet man durch Einblick in Änderungsdatum Dateien usw. sofern noch vorhanden, Abgleich aller WordPress Ordner/Dateien mit wissentlich frischen sauberen Versionen, Analyse Logfiles usw.

    Was auf dem gehackten Server passiert, ist eher zweitrangig, normalerweise bei guten Hacks sieht man gar nichts, bei Dir lief einer der Hacks wohl aus dem Ruder, so dass Du ihn bemerkt hast. Das ist aber im Regelfall nur ein kleiner Teil.
    Wann wurde das neu gemacht? Nach Deinem Posting hier vom Mittwoch? Wie genau? Nach welcher Anleitung? Wurde vor dem neu machen alle Dateien und Ordner komplett entfernt? Welche Ergebnisse zeigt WordFence nach dem neu machen? Screenshots?

    Sind alle Plugins auch aktuell gepflegt und werden regelmässig von den Pluginautoren aktualisiert? Welche Plugins werden verwendet? Screenshot Liste der Plugins?

    Ist das Theme aktuell und wird regelmässig vom Themeautor aktualisiert? Screenshot Design > Themes > Dein Theme > Theme Details?

    Und aufgrund Deiner Beschreibung diese Frage: Steht irgendwo in der Datei wp-config.php eine Zeile wie diese?
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Falls ja, entferne diese Zeile.
     
  12. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.663
    Zustimmungen:
    122
    Letztlich wird dir keiner ohne eingehende Analyse sagen können, wie und wodurch deine Installation gehackt wurde. Und ich befürchte, so eine Analyse lässt sich in einem Forum nicht durchführen.

    Solange Wordfence manipulierte Dateien anzeigt, musst du jede dieser Dateien als Einfallstor behandeln. Es ist nicht eine Datei irgendwo, die deine Datenbank verändert.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden