1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Seite gehacked, verdächtige *.ico Datei

Dieses Thema im Forum "Allgemeines" wurde erstellt von Foma, 2. Dezember 2018.

Schlagworte:
  1. Foma

    Foma Member

    Registriert seit:
    17. November 2016
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo liebe Community,

    ich habe eine Wordpress Seite für einen Freund gemacht. Ich nutze auch seinen Webspace, Datenbank etc.

    Da er bereits alle im Preis enthaltenden Datenbanken für Wordpress Seiten genutzt hat, habe ich die neue Wordpress Seite mit anderem Präfix ebenfalls auf der gleichen Datenbank installiert.

    Vorbereitet hatte ich die Seite auf meinem Webspace und bin dann mittels Plugin All-in-One WP migrate auf den neuen Webspace umgezogen. Es hat alles wunderbar funktioniert.

    Nun ist die Seite ca. 4 Tage online. Und gestern ist mir auf dem Handy und auf dem Laptop aufgefallen, dass ein gemeiner Redirect stattfindet, wenn man über google auf die Seite will (allerdings jeweils nur 1 Mal passiert, danach ging es wieder). Avast hat einen HTML:RedirME-inf[Trj] angezeigt. So ein Mist.

    Ich habe dann alles durchsucht und zuerst nichts auffälliges gefunden und auch verschiedene Scans und Security Plugins ausprobiert. Überall wurde rein gar nichts gefunden, bis Wordfence das fand:

    Critical Problems:

    * File appears to be malicious: wp-config.php

    Und siehe da, dort fand ich oben die Code Zeilen:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Der PHP Decoder zeigte mir dann daraus einen Pfad an, welcher in den Ordner der alten Wordpress Installation meines Freundes führte zu der Datei:
    wp-includes/css/.0f8e15e9.ico


    Scheint dies die Ursache zu sein? In der Wordpress Installation der alten Seite befindet sich diese include Zeile ebenfalls in der wp-config.

    Was kann ich nun machen? EInfach Codezeilen und Datei löschen?
    Die neue Seite dient der Bewerbung eines Produtkes für ein STudentenprodkt mit gemeinnütziger Unterstützung und sollte ohne Probleme erreichbar sein. Bin schon die ganze Zeit am Recherchieren und Suchen und schon recht aufgekratzt :D

    Vielen Dank!
     
  2. SirEctor

    SirEctor WPDE-Team
    Mitarbeiter

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    11.066
    Zustimmungen:
    184
    Such mal hier im Forum nach gehacked. Kommt in letzter Zeit sehr oft vor und meist durch das Plugin WP GDPR.
     
  3. Foma

    Foma Member

    Registriert seit:
    17. November 2016
    Beiträge:
    7
    Zustimmungen:
    0
    Hey ich danke dir! Werde mir da mal einiges zu Gemüte führen.

    Das Plugin WP GDPR hab ich nicht, dafür aber Cookie Notice for GDPR. Könnte es auch dadurch gekommen sein?
     
  4. Foma

    Foma Member

    Registriert seit:
    17. November 2016
    Beiträge:
    7
    Zustimmungen:
    0
    Ich hab gerade auch festgestellt, dass in der alten Wordpress Installation diese Codezeile zu der .ico Datei in der wp-config.php, der index.php ist und auch die .htaccess sonderbare Pharma Sachen enthält. Diese Dateien sind bei mir zur Zeit noch unauffällig.

    Wäre es möglich, dass die alte evtl. verseuchte WP Installation die neue WP installation ebenfalls versucht hat?
     
  5. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    4.146
    Zustimmungen:
    274
    Das ist durchaus möglich.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden