WP 5.x Malware finden und verstehen

Hochverehrte Gemeinde,

ich betreibe schon seit einigen Jahren diverse kleine Wordpressprojekte. Eines davon wurde vor kurzem mit Malware infiziert. Da mir dies (zumindest wissentlich) erstmalig passiert ist, habe ich versucht mich etwas in die Materie einzuarbeiten.
Ziel dabei ist es aber nicht den Schadcode zu entfernen, sondern ihn überhaupt zu finden. Sobald dies geschehen ist setze ich das Ganze neu auf.

Sachverhalt ist dabei folgender: Sobald mein eine Website der aufruft, egal welche innerhalb der WP-Installation das ist, also auch im Backend, wird man weitergeleitet zu cdnwebsiteforyou.biz/landing.php.
Von dort aus geht es dann natürlich weiter und irgendwann endet man bei irgendwelcher Werbung. Da das immer nur einmalig passiert und man danach die Seite ganz normal nutzen kann habe ich Stück für Stück Cookies gelöscht und neu geladen. Das Ergebnis: hat mein ein Cookie mit dem Namen BestCookie welches dann auch noch den Wert true aufweißt, so kommt keine Weiterleitung und man bleibt ganz normal auf dem Blog. Der Cookie hat eine Gültigkeit von sechs Stunden, danach würde man also wieder Werbung sehen.

Nun meine Frage an die Profis: Wie zur Hölle finde ich raus was diesen Cookie setzt? Ich habe mir die header.php im verwendeten Theme angeschaut: nichts. Da die ja aber, so glaube ich zumindest, im Backend eh nicht geladen wird, weiß ich nicht so recht wo ich suchen soll.
Was gibt es denn was global geladen wird, also quasi absolut überall? Stylesheets?

Ich bin über jeden Denkanstoß dankbar <3

Liebe Grüße, der Basti.

 

Zuerst einmal vielen Dank für deine Antwort. Ich dachte das sich das Ganze schon etwas eingrenzen lässt. Da der Redirect ja auch im Backend auftritt, wo z.B. ja kein Theme oder F.A.Q.-Plugin geladen wird. Oder habe ich da einen Denkfehler? Teile der WP-Installation habe ich bereits ersetzt, aber auch das brachte natürlich nichts
Die wp-config.php habe ich bereits händisch überprüft, die ist sauber.

 

Gesagt --> Getan

Wie genau das einschleusen den fremden Codes von statten gegangen ist weiß ich leider nicht, die betroffenen Dateien befanden sich im Plugin WP Awesome FAQ. Es handelte sich um modifizierte PHP- und JavaScript-Files welche mit HEX-Code aufgefüllt worden.

Vielen Dank für eure Hilfe @b3317133 und @FloRet . Ich habe nun ein Backup eingespielt und alles wieder auf den aktuellen Stand gebracht

 

Da muss ich dir Recht geben. Der genaue Einstiegspunkt war für mich nicht auszumachen. Ich habe nach dem Rückspielen des Backups nochmal alle Passwörter geändert. Viel mehr ist mir aber nicht eingefallen. Eventuell, das ist aber mehr hoffen als wissen, wurde die Lücke im Plugin/Theme/ect. ja sowieso durch ein zwischenzeitliches Update geschlossen...

Zusätzlich habe ich noch einen Scanner als Cronjob laufen der täglich alle Files mit dem Inhalt der gestrigen Version vergleicht und bei Unterschieden Alarm schlägt.