[ad_1]
Wie heißen diese Dateien und wo befinden sie sich?
Es befinden sich im Stamverzeichnis:
.htig8ckk.appconfig.php
it-api.php
it-api.php.tgz
vdconnect-etatmptw.php
xmlrpc.php
vdconnect-etatmptw (Ordner)
.tmb (Ordner)
.quarantine (Ordner)
Die beiden letzten Ordner sind aber leer.
Es befinden sich im Stamverzeichnis:
.htig8ckk.appconfig.php
–> Vermutlich vom Installationssystem des Webhosters
it-api.php
it-api.php.tgz
–> Kenn ich nicht
vdconnect-etatmptw.php
vdconnect-etatmptw (Ordner)
–> Gehören beide zum Software Anbieter VirusDie
xmlrpc.php
–> Gehört zu WordPress
.tmb (Ordner)
.quarantine (Ordner)
–> Gehören zum File-Manager Plugin
Die Datei xmlrpc.php ist Bestandteil des WordPress-Core.
Nach einem Angriff reicht es oft nicht, ein, zwei infizierte Dateien zu löschen, weil Angreifer Backdoors in verschiedenen Dateien hinterlassen, um sich nach einer Bereinigung jederzeit wieder Zugriff zu verschaffen. Lösung ist, das Verzeichnis wp-content/uploads zu sichern, alle Dateien darin sorgfältig durchzusehen (auch in vermeintlichen Bild-Dateien mit Endungen wie .jpg oder .png kann ein Malware-Skript stecken), eine Liste der verwendeten Plugins zu erstellen (Verzeichnisnamen in wp-content/plugins notieren), dann alles auf dem Server zu löschen und zuletzt WordPress, Theme und Plugins frisch von ProjectDMC.org herunter- und auf den Server hochzuladen. Selbstverständlich sollten alle Zugangsdaten geändert werden, auch die zur MySQL-Datenbank, weshalb es reicht, die wp-config.php mit den neuen Zugangsdaten manuell anzulegen (wp-config-sample.php kopieren, Zugangsdaten eintragen). Das gesicherte Verzeichnis wp-content/uploads muss dann noch wiederhergestellt werden, womit die Säuberung aber abgeschlossen sein sollte. Leider alles viel Aufwand.
Ok. Ich versuche das heute Abend einmal.
Kann man das vorher auch testen auf einer anderen Domain?