[ad_1]
Falls vorhanden, solltest du ein „sauberes Backup“ einspielen.
Hab ich versucht aber offensichtlich sind meine Backups auch nicht sauber.
Dann hilft dir nur eine manuelle Reinigung der Website, was recht aufwendig ist. Der englische FAQ-Beitrag FAQ My site was hacked enthält dazu ein paar Hinweise.
Wenn du dir das selbst nicht zutraust, solltest du nach einem Dienstleister suchen, der sich damit auskennt und das gegen Honorar anbietet.
Da es diese Datei in WP nicht geben sollte, wird alarmiert. Okay.
Vmtl. wurde damit böser Code eingeschleust und evtl. kann ein Upload zu virustotal.com Aufschluss geben.
Es könnten leider auch andere Schadcodes drin lauern und wenn die bereits im Backup sind, ist das leider ungünstig.
Bloß kann man den WP Kern (wp-includes/ … gehört dazu) ja leicht austauschen. Somit ist die verdächtige Datei (u. ggf. weitere) dann auch weg.
Also alle Ordner/Dateien (bis auf den wp-content Ordner, resp. dessen unverzichtbaren Inhalt) löschen und komplett neu installieren.
(Den übrig gebliebenen Dateibestand in wp-content muss man aber mit besonderer Aufmerksamkeit u.U. manuell nach Schadcodes durchsuchen!)
Mehr, bessere und v.a. prof. Tipps bei vermutlich gehackter Website sind hier zu finden und manchmal haben die Profis hier noch weitere Links zum Thema.
Als Ergänzung zu dem sonst guten Rat con @kurapika: Die wp-config.php muss natürlich auch erhalten bleiben, denn da stehen die Datenbank-Zugänge drin.
Diese ist aber genau wie Theme und aktive Plugins manuell nach Schadcode zu checken.
Ups, danke Torsten!
Kam schon lange nicht mehr in den Genuss, eine gehackte Website putzen zu dürfen, daher auf die config vergessen. (Die ich bei eigenen Projekten aber auch löschen würde, weil die Zugangsdaten ohnehin in einem lokalen Passwort-Manager sind)
Theme und aktive Plugins manuell nach Schadcode zu checken
was die schönste Arbeit ist …
Weiß nicht, ob es hier inzwischen ein Patentrezept gibt, wie man sich dies erleichtern könnte? Ich ging damals so vor, dass ich auch Themes und Plugins löschte und (wo möglich, nach Export deren Settings) neu installierte. Es blieb eigentlich nur der uploads Ordner übrig, der wurde dann nur mit manuell geprüften Original-Bildern wieder auf das Web losgelassen.
Ich ging damals so vor, dass ich auch Themes und Plugins löschte und (wo möglich, nach Export deren Settings) neu installierte. Es blieb eigentlich nur der uploads Ordner übrig, der wurde dann nur mit manuell geprüften Original-Bildern wieder auf das Web losgelassen.
Das ist der klassische (und mühsame) Weg, Websites manuell von Malware zu bereinigen.
Per grep nach Schadcode-Mustern zu suchen oder nur die Dateien zu löschen, die von Plugins wie Sucuri Scanner als Malware erkannt werden, kann trotzdem Backdoors hinterlassen. Meistens wurde bei erneutem Malware-Befall aber nicht sorgfältig gearbeitet oder wichtige Dinge (z.B. der Austausch aller Zugangsdaten) übersehen.
grep? ist das was WP-CLI oder wie das heißt?
Was u.U. auch, zusätzlich helfen kann, ist ein Dateivergleich mit einem sicher cleanen Backup.
Wenn man die Möglichkeit mal ausblendet, dass evtl. sogar bekannte Dateien ausgetauscht wurden, dann findet so ein Dateivergleich ja alle, die dort nicht hingehören.
Klar muss man dann jene wieder ausschließen, welche in der Zwischenzeit von Benutzern oder Plugins manuell oder beim Update … hinzugefügt / gelöscht wurden, usw.
Doch evtl. kryptische oder verdächtige Dateinamen (etwa wie „functions_.php“) sollten einem dann auffallen.
Es ist und bleibt also mühsam …
grep ist ein Linux-Befehl, mit dem du Dateien nach einem bestimmten Zeichenmuster durchsuchen kannst (vgl. grep(1) – Linux man page). Es gibt neuere Tools, die schneller arbeiten (z.B. ripgrep).
Da Angreifer gerne Malware als base64 verschlüsseln, um einerseits den Schadcode nicht offensichtlich zu machen und andererseits die Suche nach Malware-Patterns zu erschweren. Du kannst aber z.B. die Medienuploads gezielt nach base64 durchsuchen. Das sollte eigentlich nicht in jpg– oder png-Dateien vorkommen und könnte ein Hinweis auf als Grafikdatei getarnte Skripte sein.
Der Beitrag How to Clean a Hacked WordPress Site using Wordfence nennt ein paar Beispiele.
Schon allein daran, an dem einen Detail sieht man wieder, dass man (als normaler Betreiber ohne Spezi-Know how) mit den richtigen Partnern und Dienstleistern besser fährt.
Denn zum einen hat nicht jeder die Möglichkeit das auf seinem Server zu tun und noch weniger Leute wissen, wie das genau geht.
Ich könnte das nicht; Wir (Bekannter & I) hatten halt das Glück, dass keine Medien durch kompromittierte Kopien ausgetauscht wurden. Ansonsten wäre all die Säuberung für die Katz gewesen und die Neu-Installation bald auch wieder verseucht.
Doch das ist viel Jahre her, daher sage ich, wir hatten „mehr Glück als Verstand“.
Jedenfalls Danke für diese Info!