1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Anfängerfrage wp-config.php malware-Prüfung?

Dieses Thema im Forum "Allgemeines" wurde erstellt von Knassig, 11. November 2021.

  1. Knassig

    Knassig New Member

    Registriert seit:
    11. November 2021
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo allerseits!
    Ich bin neu hier im Forum und neu bei WP, meine Seite ist erst seit ein paar Wochen im Aufbau. Nun bekam ich eine Nachricht von meinem Provider, dass das Toolkit einen Vorgang nicht in 660 Sekunden abschließen konnte und daher der Verdacht auf malware besteht. Ich soll die Datei wp-config.php auf Malware-Code prüfen oder einen Virencheck durchführen.
    Also, ich bin technisch VÖLLIG unbedarft (aber lernfähig :)). Wie mache ich das? Einen normalen Virencheck des Computers habe ich durchgeführt, dabei wurde nichts gefunden.
    Wo finde ich diese Datei und wie sehe ich, ob da malware-Code drin ist?
    Bitte so erklären, dass es euer 84-jähriger Opa verstehen würde, DANKE!!!

    Knassig
     
  2. meisterleise

    meisterleise Well-Known Member

    Registriert seit:
    18. Januar 2012
    Beiträge:
    455
    Zustimmungen:
    89
    Was ist das für ein Provider? Warum hat der nicht selbst einen Virenscan? Und warum meint der, Mailware ließe sich einfach dadurch eintdecken, indem man einen Blick in die config.php wirft? Das waren rhetorische Fragen.

    Eine erste schnelle Prüfung könntest du hier durchführen: sucuri
    Danach oder außerdem könntest du ein Plugin zur Prüfung installieren, bspw. WordFence
     
  3. Knassig

    Knassig New Member

    Registriert seit:
    11. November 2021
    Beiträge:
    2
    Zustimmungen:
    0
    Hallo Meisterleise,
    danke für die schnelle Hilfe! Der Provider ist PixelX. Ich habe eben bei sucuri geschaut, da wurde nichts Verdächtiges gefunden. WordFence werde ich installieren, außerdem auch hhttps statt http, da hat mich sucuri drauf hingewiesen.
     
  4. worddummy

    worddummy New Member

    Registriert seit:
    Mittwoch
    Beiträge:
    4
    Zustimmungen:
    0
    https umstellung muss Provider machen. Denke nicht das Du darauf Zugriff hast.
    Wordfance lasse ich auch gerade laufen, bringt aber leider nicht den gewünschten Erfolg weil es unzählige Dateien als High auflistet von denen man nur ahnen kann das sie vom Template sind. Sucuri hat bei mir auch alles als sauber angezeigt. Google auch.
    Blöderweise wird die site url in der Datenbank ständig wieder geändert. Das produziert natürlich linkfehler.
    In den Logs ist auch nicht erkennbar welches script das macht. Eigentlich sollten die ganzen Hacks und ihre Auswirkungen bekannt sein.
    Leider ist dazu im Netz nicht viel zu finden. Denke nicht das ich der Einzige bin der betroffen ist.
     
  5. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.658
    Zustimmungen:
    121
    Das ist aber eher ein schlechtes Zeichen. Normalerweise ist das nicht so. Das klingt tatsächlich so, als wäre deine Seite gehackt worden.

    Poste Mal einen Screenshot dieser "High" Ergebnisse.
     
  6. worddummy

    worddummy New Member

    Registriert seit:
    Mittwoch
    Beiträge:
    4
    Zustimmungen:
    0
    Wären eine Menge Screenshots.
    Mann muss doch in irgendwelchen Logs feststellen können welche Datei für die Datenbankänderung verantwortlich ist.
    Die mysql log zeigen nur die Änderungen an aber nicht das script welches es ausführt.
     
  7. worddummy

    worddummy New Member

    Registriert seit:
    Mittwoch
    Beiträge:
    4
    Zustimmungen:
    0
    die meisten versuche wp-login kommen aus ohio von einem bzw. mehreren amazon IPs.
    wordfence hat die meisten blockiert
     
  8. worddummy

    worddummy New Member

    Registriert seit:
    Mittwoch
    Beiträge:
    4
    Zustimmungen:
    0
    Die ganzen Tools versagen. Die ganzen Logs liefern keinen Hinweis auf die Lücke.
     
  9. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    9.427
    Zustimmungen:
    1.209
    Wenn die Installation "gut durchgehackt" ist, wovon man anhand Deiner Beschreibung mit u.a. "eine Menge Screens mit High Ergebnissen" wohl ausgehen muss, dann kann das beste Tool in WordPress nichts ausrichten, da es immer von einem der Hacks ausgehebelt werden kann und wird. Siehe Hase und Igel, ein Hack ist immer schneller.

    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben, das könntest Du mit jemandem mit WordPress Erfahrung bei Dir im näheren Umfeld zusammen durchgehen.

    Dabei am Wichtigsten wäre, die für den Hack genutzte(n) Lücke(n) zu ermitteln, damit das nicht wieder passiert.
     
    #9 b3317133, 27. November 2021 um 22:56 Uhr
    Zuletzt bearbeitet: 27. November 2021 um 23:20 Uhr
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden