Seite gehacked, verdächtige *.ico Datei

Hallo liebe Community,

ich habe eine Wordpress Seite für einen Freund gemacht. Ich nutze auch seinen Webspace, Datenbank etc.

Da er bereits alle im Preis enthaltenden Datenbanken für Wordpress Seiten genutzt hat, habe ich die neue Wordpress Seite mit anderem Präfix ebenfalls auf der gleichen Datenbank installiert.

Vorbereitet hatte ich die Seite auf meinem Webspace und bin dann mittels Plugin All-in-One WP migrate auf den neuen Webspace umgezogen. Es hat alles wunderbar funktioniert.

Nun ist die Seite ca. 4 Tage online. Und gestern ist mir auf dem Handy und auf dem Laptop aufgefallen, dass ein gemeiner Redirect stattfindet, wenn man über google auf die Seite will (allerdings jeweils nur 1 Mal passiert, danach ging es wieder). Avast hat einen HTML:RedirME-inf[Trj] angezeigt. So ein Mist.

Ich habe dann alles durchsucht und zuerst nichts auffälliges gefunden und auch verschiedene Scans und Security Plugins ausprobiert. Überall wurde rein gar nichts gefunden, bis Wordfence das fand:

Critical Problems:

* File appears to be malicious: wp-config.php

Und siehe da, dort fand ich oben die Code Zeilen:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Der PHP Decoder zeigte mir dann daraus einen Pfad an, welcher in den Ordner der alten Wordpress Installation meines Freundes führte zu der Datei:
wp-includes/css/.0f8e15e9.ico


Scheint dies die Ursache zu sein? In der Wordpress Installation der alten Seite befindet sich diese include Zeile ebenfalls in der wp-config.

Was kann ich nun machen? EInfach Codezeilen und Datei löschen?
Die neue Seite dient der Bewerbung eines Produtkes für ein STudentenprodkt mit gemeinnütziger Unterstützung und sollte ohne Probleme erreichbar sein. Bin schon die ganze Zeit am Recherchieren und Suchen und schon recht aufgekratzt

Vielen Dank!

 

Hey ich danke dir! Werde mir da mal einiges zu Gemüte führen.

Das Plugin WP GDPR hab ich nicht, dafür aber Cookie Notice for GDPR. Könnte es auch dadurch gekommen sein?

 

Ich hab gerade auch festgestellt, dass in der alten Wordpress Installation diese Codezeile zu der .ico Datei in der wp-config.php, der index.php ist und auch die .htaccess sonderbare Pharma Sachen enthält. Diese Dateien sind bei mir zur Zeit noch unauffällig.

Wäre es möglich, dass die alte evtl. verseuchte WP Installation die neue WP installation ebenfalls versucht hat?