1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

wss.php gehackt?

Dieses Thema im Forum "Allgemeines" wurde erstellt von RayyJayy, 28. März 2018.

  1. RayyJayy

    RayyJayy Member

    Registriert seit:
    19. März 2017
    Beiträge:
    17
    Zustimmungen:
    0
    Avira hat heute bei der Sicherung meiner Wordpress-Seite die Datei wss.php, die sich im wp-content-Ordner befindet, gesperrt, weil sie das Muster "PHP/Shell.G.2" enthält. Wurde mein Wordpress gehackt oder ist das ein falsch-positiver Alarm?

    Wofür ist die wss.php da? Wie bekomme ich raus, ob sie sauber ist?

    Cheers
    RayyJayyne
     
  2. SirEctor

    SirEctor WPDE-Team
    Mitarbeiter

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    11.770
    Zustimmungen:
    326
    Lade dir das original Paket runter und vergleiche das mit deinen Dateien.
     
  3. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    71
    Zustimmungen:
    7
    Das wird eine Schaddatei sein, ich wüsste nicht was eine wss.php im wp-content Ordner verloren haben sollte.
    Du könntest deine Seite mal mit Wordfence scannen und dabei in den Scan Options (entgegen der Standardeinstellung) die Plugins, Themes und "Files outside your WordPress Installation" miteinbeziehen.
    Die Core Dateien werden dabei ebenfalls verglichen.

    Gruß

    Pascal
     
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.280
    Zustimmungen:
    559
    Definitiv ein Hack.

    Eine Datei dieses Namens an dieser Stelle wird in der Regel eingebaut, um Weiterleitungen o.ä. bzgl. Phishing ("Benutzerdatenklau") zu hinterlegen.

    Weiteres Vorgehen: Anhand Server-Logs & Backups feststellen, wann/woher der Hack kam, Lücke identifizieren, Lücke schliessen. Wenn das erledigt ist: Alle Systemdateien von WordPress ersetzen, dafür wp-admin/ und wp-includes/ komplett löschen. Alle Plugins durch saubere Versionen ersetzen, dafür alle Ordner in wp-content/plugins/ löschen, gleiches gilt für das Theme. Alle PHP-Dateien in wp-content/uploads/ suchen/löschen. Alle Passwörter ändern, FTP, MySQL, WordPress Accounts, usw.
     
  5. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    71
    Zustimmungen:
    7
    Die Access Logs kannst du im Schnelldurchlauf hier checken (WIP) - für die Detailanalyse ein guter Ausgangspunkt.
    Wenn du wie von @b3317133 beschrieben die Seite vollständig runderneuerst, kannst du dir das aber im Grunde auch sparen.
     
  6. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    6.280
    Zustimmungen:
    559
    Access Logs auf fremde Server hochzuladen sollte man sich allerdings genau überlegen, da können u.U. auch Inhalte wie Session-IDs o.ä. enthalten sein, mit denen man Unfug treiben kann.
     
  7. RayyJayy

    RayyJayy Member

    Registriert seit:
    19. März 2017
    Beiträge:
    17
    Zustimmungen:
    0
    Danke für eure Rückmeldungen!
    Wordfence hat vier infizierte Dateien gefunden, unter anderem die von Avira entdeckte wss.php. Zwei weitere, die mit einem Plugin namens "WPBase Cache" zu tun haben. Das sagt mir nichts.
    Bei meinen Backups sehe ich erst einmal nur, dass bis 11. Dezember 2017 weder die wss.php im Root-Verzeichnis noch das wp-dbase-cache-Verzeichnis im Plugin-Ordner vorhanden war.
    Die wss.php wurde am 29. Dezember (5:29 Uhr) geändert/erstellt. Das wp-dbase-cache am 10. Januar (14:20 Uhr).
    Die Logs sagen mir natürlich nix. Kann ich website-bereinigung.de dafür verwenden oder besser nicht?
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden