Viren-PHP überall, woher kommen sie, was kann man tun?

Hallo Leute,

ich habe kürzlich von meinem Hoster eine E-Mail erhalten, dass auf meinen webspace eine schadhafte Datei hochgeladen wurde. Diese Datei habe ich sofort gelöscht. Nachdem ich per FTP nun mal JEDES Verzeichnis meiner WP-Installation durchgegangen bin, ist mir aufgefallen, dass in etlichen Ordnern .php Dateien liegen, die dort nicht hingehören.

Alle dieser Dateien geben vor, dass sie Ende 2014 erstellt wurden und haben z.B. folgende Namen:

• alias10.php
• user98.php
• include.php
• dirs22.php
• general32.php
• system.php
• system63.php
• functions20.php
• utf.php

Ich habe jetzt alle Dateien (und es waren deutlich mehr als oben aufgezählt) von Hand gelöscht.

Ich habe vorsorglich mein DB-Kennwort, mein FTP-Kennwort und die Kennwörter aller User geändert (ich hatte schon vorher sehr sichere und lange Kennwörter).

Wie kann es jemand schaffen, diese Dateien dort zu platzieren? Was kann ich tun, damit das nicht wieder passiert? Muss ich, außer der Kennwörter noch etwas ändern oder kann es noch irgendwo anders zu Schaden gekommen sein?

Vielen Dank im Voraus!

Jaro

 

Hallo Monika,

• Meine WP-Version ist immer brandaktuell, da ich da sehr auf Aktualität bedacht bin.
• Aktuell 4.3 aber das muss auch schon die letzten beiden Versionen gewesen sein
• Als Theme benutze ich RT-Theme 17
• Plugins: All In One SEO Pack, ARForms, Contact Form 7, Easy Table, Flexible Map, Google XML Sitemaps, Hover Image, iframe, List category posts, Really Simple CAPTCHA, Revolution Slider, Toggle box, Wordfence Security, WP-CleanUmlauts2, wpMAPS
• Ich habe mehrere Seiten, auf fast allen dasselbe Setup (Theme und Plugins) und bei keiner anderen Seite hatte ich einen solchen Angriff

Hast Du anhand der genannten Daten eine Idee?

Vielen Dank im Voraus!

Jaro

 

Vielen Dank schon mal für die Hinweise!

Passt der Begriff sql-injection dazu oder ist das eine ganz andere Baustelle? Können per sql-injection solche Dateien erzeugt werden?

 

Schon mal vielen Dank für Eure Hinweise!!!

Zusammen mit ein paar Leuten, die mehr Erfahrung haben als ich, konnten wir feststellen, dass es eine IP aus RIGA war, nach kurzer Recherche festgestellt, dass diese IP schon öfter wegen Hacking, SQL-Injection etc. reported wurde.

Nachdem wir die Logfiles des Servers gecheckt haben konnten wir mit relativ großer Wahrscheinlichkeit die Lücke ausmachen - Es war das Plugin Revolution Slider. Am 17.07. muss der Angriff gewesen sein, allerdings kam erst ein paar Tage später ein neues Update des Plugins. Ich weiß leider gerade nicht mehr, welche Version ich hatte, da ich dieses Plugin vorsorglich gänzlich gelöscht habe.

Ich habe nun alle Dateien dieser Art gelöscht, alle Kennwörter (Datenbank, FTP, WP-User) geändert und die Wordpress Dateien mit Originaldateien abgeglichen. Jetzt scheint alles clean zu sein.

Die infizierten Dateien haben dem Code nach den Anschein gemacht, dass die nichts zerstören sollten. Vielmehr haben die Dateien den Auftrag gehabt, weitere Daten von eben dieser einen IP-Adresse nachzuladen. Wahrscheinlich also irgendwie phishing oder ähnlich.

Ich werde das mal weiter beobachten, bis jetzt sieht es aber ganz gut aus.

Zusätzlich habe ich einige der Plugins gelöscht um die Angriffsfläche möglichst zu verringern ...

VG
Jaro

 

Hallo Ralf, vielen Dank für den Hinweis. Jetzt mal blöd gefragt: Wenn ich alle außer der von dir genannten Ordner von WP lösche und eine neue Installation davon hochlade. Funktioniert die Seite danach noch ganz normal? So wie sie vorher aussah?

VG
Jaro