1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Schadcode nach Hackerangriff

Dieses Thema im Forum "Allgemeines" wurde erstellt von temporada, 4. Mai 2020.

Schlagworte:
  1. temporada

    temporada Active Member

    Registriert seit:
    19. September 2016
    Beiträge:
    25
    Zustimmungen:
    0
    Hallo zusammen,

    heute möchte ich mal eine Lösung hier im Forum anbieten, die mir nach einem Hackerangriff letzte Woche geholfen hat. Ich war froh einen HInweis im Internet gefunden zu haben und deshalb ist es sicherlich nützlich, falls hier mal der ein oder andere nach Hilfe sucht.

    Ich hatte letzte Woche eine unerfreuliche Nachricht von meinem Hoster, dass schädlicher Code auf meinem Webspace gefunden wurde. Ich bin dann wie folgt vorgegangen und konnte erfolgreich alles entfernen!

    Diese 3 schädlichen Dateien wurden vom Hacker auf unserem Webspace platziert und müssen unbedingt wieder entfernt werden, sie befinden sich im Ordner wp-includes:

    wp-feed.php
    wp-vcd.php
    wp-tmp.php

    Leider reicht das noch nicht und die Dateien installieren sich wieder, denn es wurde zusätzlich Code in die functions.php des angewendeten Themes geschrieben!

    Folgender schadhafter Code gleich am Anfang der functions.php des Themes wurde umgehend von mir entfernt (nach langer Recherche hatte ich diesen Hinweis auf wiedbrauck.de entdeckt!)

    Danach war alles ok und die Webseite nach Prüfung des Hosters wieder clean!
    Auch wordfence hat alles mit ok abgesegnet und mir ist ein Stein vom Herzen gefallen!

    so beginnt der Code am Anfang der functions.php
    <?php
    //V0KCRfUkVRVUVTVFsnYWN0aW9uJ10pICYmIGlzc2V0KCRfUkVRVUVTVFsncGFzc3dvcmQnXSkgJiYg
    if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '5a4afa83ee3ba64f42e51fd09d69a08c'))
    {
    $div_code_name="wp_vcd";
    switch ($_REQUEST['action'])
    {



    (den Mittelteil lasse ich weg, damit es hier nicht komplett kopiert werden kann!)

    .... so endet der Code


    //$start_wp_theme_tmp

    //1111111111111111111111111111111111111111111

    //wp_tmp


    //$end_wp_theme_tmp
    ?>

    Kompletten Code entfernen plus die 3 Dateien wie oben beschrieben, ALLE Passwörter ändern etc. Dann sollte der Hackerangriff Geschichte sein!

    Deswegen möchte ich es hier im Forum veröffentlichen, denn dieses Problem von Backdoor etc. wird sicherlich bei anderen auch immer mal auftauchen.

    Ich hoffe, dass ich so vielleicht dem ein oder anderen damit helfen kann.
    Mir hat es sehr geholfen und alles ist wieder gut :)
     
    #1 temporada, 4. Mai 2020
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.685
    Zustimmungen:
    1.786
    Der wichtigste, leider ungenannte Punkt wäre:

    Feststellen, wann/woher der Hack kam, Lücke identifizieren, Lücke schliessen.

    Das allgemeine Vorgehen mit allen notwendigen Schritten bei einem Hack ist z.B. hier beschrieben.
     
    #2 b3317133, 4. Mai 2020
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden