1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP Malware/Virus serverübergreifend?

Dieses Thema im Forum "Konfiguration" wurde erstellt von Cybershark, 22. September 2018.

Schlagworte:
  1. Cybershark

    Cybershark Member

    Registriert seit:
    29. Juni 2018
    Beiträge:
    5
    Zustimmungen:
    0
    Guten Tag,

    vor ca. 3 Wochen hatte ich auf allen meiner WordPress Installationen einen Virus. Man wurde beim Aufrufen der Seiten immer auf Werbung weitergeleitet.
    Ich ging wie folgt vor:
    • WordFence installieren
    • Scan: Alle gefunden Dateien entfernt und die headers "repairt" (also Code der Weiterleitung entfernen lassen)
    Das hat jedoch nicht funktioniert. Ich habe mich dann entschlossen, alle Webseiten neu aufzusetzen. (Neue WP Installation)
    Jetzt, ein paar Tage nachdem ich die Seiten komplett neu erstellt habe, werden wieder automatisch die header mit code versehen. Keine 5 Minuten nachdem ich ihn wieder entfernt habe, kommt er wieder. Die verschiedenen Scans zeigen nichts an, außer dem Code, sofern vorhanden und nicht von mir gelöscht.

    Auf meinem Server befinden sich, noch von anderen Seiten, Installationen die verseucht sind. Ist es möglich, dass diese auf meine anderen Installationen übergreifen?
    Ich kann mir nicht vorstellen, wie ein neuer Virus auf meine frischen Installationen kommen kann...
     
    #1 Cybershark, 22. September 2018
  2. FloRet

    FloRet Well-Known Member

    Registriert seit:
    20. September 2016
    Beiträge:
    1.197
    Zustimmungen:
    91
    Hallo - sämtliche Passwörter (FTP, SQL,.... nach der Bereinigung geändert?

    Ich vermute sehr stark das irgendwo "NULLED THEMES oder PLUGINS" verwendet werden, und daher immer wieder eine Infektion von statten geht.

    Und ja, es ist durchaus möglich wenn andere Seiten auf dem Space befallen sind, diese auch auf Dich überschwemmen können.

    Ich empfehle hier eindeutig, einen PROFI zu engagieren der sich der Sache annimmt!

    Das wichtigste: Sofort alle Seiten deaktivieren mittels .htaccess, damit keine weiteren Schäden gemacht werden können.

    LG
     
    #2 FloRet, 22. September 2018
    Cybershark gefällt das.
  3. Cybershark

    Cybershark Member

    Registriert seit:
    29. Juni 2018
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo,
    vielen Dank für deine Antwort.

    Nulled (gehackte) Themes oder Plugins kann ich komplett ausschließen.
    Das Übergreifende betreffend: Wenn ich alle (alten) befallenen Verzeichnisse lösche, ist es eventuell möglich, dass versteckte (?) Dateien zurückbleiben, welche man mit einem FTP Client nicht einfach so sieht?

    Profis hatte ich bereits kontaktiert. Bei einem Preis von __€ pro Seite lohnt es sich für mich (leider) überhaupt nicht. Da wäre es sogar noch billiger, den Hoster zu wechseln.

    Gibt es keine Möglichkeit, mittels eines Plugins (Firewall?) den erneuten Befall nach einem Scan (+ clean) zu verhindern?
     
    #3 Cybershark, 22. September 2018
    Zuletzt von einem Moderator bearbeitet: 23. September 2018
  4. FloRet

    FloRet Well-Known Member

    Registriert seit:
    20. September 2016
    Beiträge:
    1.197
    Zustimmungen:
    91
    Hallo,

    __€ / Seite ist nicht wenig, aber auch vertretbar.

    Die Frage ist immer, bist Du abhängig von der Lauffähigkeit der Seite - sprich Shops etc..., oder sind es nur "Hobby-Projekte"?

    Es gibt nun zwei essentiell wichtige Fragen:
    Bei welchen Hoster bist Du? Oder betreibst Du selbst den Webserver?
    Sind die benachbarten Seiten auch von Dir, oder von Deinen Kunden? Setzen diese mit Sicherheit auch keine Nulled Sachen ein?

    Die erste Lösung ist "sichere Passwörter" und "sichere Dateirechte" wenn alles sauber ist!
    Siehe: https://binary-butterfly.de/artikel/hilfe-mein-wordpress-hat-einen-virus/ und https://binary-butterfly.de/artikel/dateirechte-warum-eigentlich/

    Vielleicht hast Du auch bei Deinen Wiederaufbau der Seiten, schädliches mitkopiert! Eine Ferndiagnose, ohne URL usw. ist eindeutig zu schwer - und ich denke Du bist hier im Jobforum besser aufgehoben!

    EDIT zu Deiner Frage: Nein, hierzu gibt es leider keine wirklich sinnvolle Lösung, außer sichere Passwörter, sichere Dateirechte und aktuelle WP (inkl. Plugins und Themes) Instanzen - PS: Das Wort Firewall ist falsch gegriffen!

    LG
     
    #4 FloRet, 22. September 2018
    Zuletzt von einem Moderator bearbeitet: 23. September 2018
    Cybershark gefällt das.
  5. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.992
    Zustimmungen:
    199
    Ist das Theme aktuell? Sind die Plugins aktuell?

    Du kannst ja immer wieder neu installieren, aber wenn das Theme oder ein Plugin eine Lücke hat wirst du immer wieder gehackt werden.

    Aktualisiere dein Theme. Gibt es keine Updates über längeren Zeitraum, dann solltest du ein neues Theme wählen. Bei Plugins genauso. Gibt es keine Updates, weg damit!
     
    #5 JABA-Hosting, 23. September 2018
  6. Cybershark

    Cybershark Member

    Registriert seit:
    29. Juni 2018
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo FloRet!
    Das sind wirklich nur reinie Hobbyprojekte - daher lohnt sich auch ein größerer, finanzieller Aufwand gar nicht..
    Ich bin bei All-Inkl und verwende den Tarif "Premium".
    Diesbezüglich habe ich nochmal alle Seiten, die auf diesem Webspace laufen, durchgesehen. In der Tat habe ich ein Projekt gefunden, bei welchem ich nicht zu 100% ausschließen konnte, dass dort die Themes genulled waren. (Daher vermutlich auch immer wieder meine anderen Projekte infiziert/"übergeschwabbt"?)

    Ich habe anschließend die gesamte Installation des Projekts gelöscht und auf allen anderen Seiten das Plugin "GOTMLS" (Malware Scanner + Cleaner) installiert und gleichzeitig gestartet, sodass alle Installationen clean sind.

    Das war heute gegen 10 Uhr. Seitdem habe ich keine Veränderungen der header.php's o.Ä. mehr festgestellt und auch Weiterleitungen wären mir aufgefallen.

    Was mir jetzt aber noch Sorgen bereitet ist die Datei "tempotempl", die sich anscheinend immer wieder in meine Installation schleicht. Den Inhalt der Datei (202 byte) habe ich als Screenshot angefügt. Die URL welche im Code zu sehen ist, steht laut WordFence auf der "domain blacklist".
     
    #6 Cybershark, 23. September 2018
  7. FloRet

    FloRet Well-Known Member

    Registriert seit:
    20. September 2016
    Beiträge:
    1.197
    Zustimmungen:
    91
    Hallo!

    Also an All-Inkl dürfte es eher weniger liegen! Du bist schon selbst verantwortlich, was Du alles auf Deinen Space packst!

    Lt. Screenshot hast Du noch immer eine "infizierte" Seite.

    LG
     
    #7 FloRet, 23. September 2018
  8. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.681
    Zustimmungen:
    1.786
    Das Installieren irgendwelcher Plugins bedeutet nicht, dass die Installation "clean" ist, egal was diese Plugins behaupten.
    Diese Tatsache beweist, dass der Server nach wie vor kompromitiert ist.
     
    #8 b3317133, 23. September 2018
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden