1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Virenüberprüfung von Dateien, Zugangsdaten - WIE ?

Dieses Thema im Forum "Allgemeines" wurde erstellt von Lars Schmidt, 29. Oktober 2019.

  1. Lars Schmidt

    Lars Schmidt Member

    Registriert seit:
    15. Oktober 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Hallo zusammen,
    es wäre schön, wenn ihr mir bei der Beantwortung folgender Fragen betreffs einer Domain helfen könntet:
    a) Wie bzw. womit (welches Plugin ?) kann ich eine Datei (manuell) auf Viren prüfen und gflls ändern ?

    b) Wie kann ich Zugangsdaten betreffs FTP und Datenbanken auf Viren prüfen und gflls. ändern ?
    Vielen Dank im voraus.

    Lars
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.316
    Zustimmungen:
    559
    WordPress Core, Theme, Plugin Dateien kann man per FTP herunterladen und lokal mit sauberen frischen Archiven abgleichen, dafür gibt es sog. "diff" Programme, z.B. für Windows ExamDiff Pro, WinMerge o.ä.

    Zugangsdaten prüft man nicht auf Viren, man ändert sie beim Hosting-Anbieter und die Datenbank-Zugangsdaten zusätzlich noch in der Datei wp-config.php

    Das allgemeine Vorgehen mit allen notwendigen Schritten bei einem Hack ist z.B. hier beschrieben.

    Einen allgemeinen Scan "von aussen" kann man z.B. via sitecheck.sucuri.net oder virustotal.com o.ä. machen, aber wenn da nichts angezeigt wird, heisst das noch lange nicht, dass alles auch sauber ist.

    Wie genau siehst Du einen Virus o.ä. bei Dir?
     
  3. Marcus[IS]

    Marcus[IS] Well-Known Member

    Registriert seit:
    23. August 2009
    Beiträge:
    5.475
    Zustimmungen:
    71
    Hi,

    @b3317133 hat ja schon die richtige Vorgehensweise beschrieben.

    Spart mir die Arbeit. :)

    Noch ergänzend zu Punkt a)
    Mir ist kein Plugin bekannt, welches gehackte Blogs wieder reparieren kann.
    Leider ist bei einigen Plugins die Namensgebung Antivirus etwas unglücklich gewählt, da man schnell denkt sie arbeiten wie Antivirenprogramme auf dem heimischen Rechner, ist aber nur meine Meinung.

    Eines haben diese Plugins aber meist gemeinsam. Sie sollen Hackerangriffe erschweren und die Admins informieren, wenn sich etwas ungewöhnliches in den Dateien auftut, wie zum Beispiel eine Dateiänderung.

    Was auch unerlässlich wäre, wenn auch ziemliche Arbeit, mal einen Blick in das Zugriffslog (access.log) zu werfen.
    Die meisten Provider bieten so was an. Entweder kann man es im Kundenbereich beim Provider abrufen, oder direkt vom Webspace herunterladen.
    Dort finden sich bei einem Hack immer ziemlich verräterische Spuren, wie dieser erfolgt ist.
     
  4. Lars Schmidt

    Lars Schmidt Member

    Registriert seit:
    15. Oktober 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Vielen Dank für Eure Antwort. Mein Hosting-Anbieter hat mich darauf aufmerksam gemacht - obgleich ich selbst nicht "erkennen"
    bzw. bemerken kann, dass ein Virus vorliegt. Ich habe Wordfence und Cerber als Schutz installiert.
    Wie und was ich jedoch genau im wp-config und access-log tun / erreichen kann, ist mir allerdings nicht so geläufig.
     
  5. Lars Schmidt

    Lars Schmidt Member

    Registriert seit:
    15. Oktober 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Ich bin mal so frei und kopiere den HACK-Bericht hier her um meine Fragen dazu stellen zu können.
    [ " Definitiv ein Hack.

    Eine Datei dieses Namens an dieser Stelle wird in der Regel eingebaut, um Weiterleitungen o.ä. bzgl. Phishing ("Benutzerdatenklau") zu hinterlegen.

    Weiteres Vorgehen: Anhand Server-Logs & Backups feststellen, wann/woher der Hack kam, Lücke identifizieren, # WIE KANN MAN HIER DEN ORT / LÜCKE FESTSTELLEN ? # Lücke schliessen. # UND WIE SCHLIESST MAN DIESE MÖGLICHE LÜCKE ? # Wenn das erledigt ist: Alle Systemdateien von WordPress ersetzen # BEKANNT IST MIR, DASS ICH DURCHS ÄNDERN DER PLUGINNAMEN EINEN FEHLER ODER HACK BEHEBEN KANN - ABER SONST ... ? ? # , dafür wp-admin/ und wp-includes/ komplett löschen. # WAS PASSIERT, WENN MAN DAS TUT ?? # Alle Plugins durch saubere Versionen ersetzen, dafür alle Ordner in wp-content/plugins/ löschen, # ALLE ORDNER LÖSCHEN ?
    UND DANACH GEHT DANN NICHTS MEHR ?? # gleiches gilt für das Theme. Alle PHP-Dateien in wp-content/uploads/ suchen/löschen. Alle Passwörter ändern, FTP, MySQL, WordPress Accounts, usw. " # WO LERNT MAN DAS: CONTENT / UPLOADS SUCHEN UND LÖSCHEN - UND .... FTP / MYSQL ... ÄNDERN .... ??? - ICH WOLLTE AUCH SCHON MAL MEINE DOMAINS IN EINEN SEPARATEN ACCOUNT SETZEN .....# ]

    Gehts auch vielleicht irgendwie einfacher ? o_O

    Gruß Lars
     
  6. maxe

    maxe WPDE-Team
    Mitarbeiter

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.211
    Zustimmungen:
    188
    Hier die access.logs analysieren und verdächtige Aktivitäten überprüfen.
    lösche die beiden Ordner und ersetze sie mit denen aus dem neuen WP Download.
    auch da mit frischem Download ersetzen.

    Gleiches gilt übrigens auch für die Dateien im WP root.

    da haben i.d.R. php Dateien nichts verloren, deshalb löschen.

    Passwörter (FTP, MySQL Datenbank, Hoster-Login etc.) änderst du 1. beim Hoster (KAS o.ä.) und 2. direkt in WP.
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.316
    Zustimmungen:
    559
    Ja, wenn Du jemanden damit beauftragst, der sowas täglich macht.

    Alternativ jeden einzelnen Punkt der o.g. Liste recherchieren, ausprobieren, dazu nachlesen und selbst dazulernen.

    Wie genau sieht der Hosting-Anbieter einen Virus o.ä. bei Dir?

    PS. Plugins, wie in Deinem Fall Wordfence und Cerber, die sich in den Funktionen überschneiden, gleichzeitig zu nutzen, macht wenig Sinn und bringt eher Probleme mit sich.
     
  8. Lars Schmidt

    Lars Schmidt Member

    Registriert seit:
    15. Oktober 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Vielen Dank für Eure Antworten.
    Nun etwas konkreter:
    Mein Hoster teilt mir zunächst folgendes mit:

    [ Bei einem routinemäßigen Virenscan wurden in Ihrem Account Dateien mit Schadcode gefunden. Um die Besucher Ihrer Webseite zu schützen, haben wir diese Dateien nach Möglichkeit umbenannt und gesperrt. Falls die hier genannten Möglichkeiten nicht durch geführt werden können, so können Sie den Webspace leeren. ]

    # Was bewirkt das, wenn ich den Webspace leeren würde ?

    Ich sende euch anbei mal ein Beispiel zu - es handelt sich um eine Subdomain: #

    [ /zeichnungxxx.de.xxxxx-flyer-maker.de/920husn8.php


    /zeichnungxxx.de.xxxxx-flyer-maker.de/8c9skg3p.php


    /zeichnungxxx.de.xxxxx-flyer-maker.de/mnbo3gzj.php


    /zeichnungxxx.de.xxxxx-flyer-maker.de/vj20egn6.php ... ]

    # Vermutlich muss ich hier irgend etwas im PHP-Bereich unternehmen - und was genau ?
    Maxe hat oben erwähnt:
    [ Alle PHP-Dateien in wp-content/uploads/ suchen/löschen ]
    Okay, das hab ich verstanden. Kann es sein, dass dieses Problem auch noch anders angegangen werden muß,
    z.B. an einem anderen Ort - außer im "wp-content/uploauds" ?

    Und kann auch eine erneute Aktualisierung (die schon eine Weile zurück liegt) im Backend der Domain das ganze Problem lösen ?
    Wie gehe ich mit dem Problem um, wenn es diese Domain gar nicht mehr gibt bzw. bei Denic gelöscht wurde ? #


    Gruß Lars
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden