[ad_1]
Wie heißen diese Dateien und wo befinden sie sich?
Es befinden sich im Stamverzeichnis:
.htig8ckk.appconfig.php
it-api.php
it-api.php.tgz
vdconnect-etatmptw.php
xmlrpc.php
vdconnect-etatmptw (Ordner)
.tmb (Ordner)
.quarantine (Ordner)
Die beiden letzten Ordner sind aber leer.
Es befinden sich im Stamverzeichnis:
.htig8ckk.appconfig.php
–> Vermutlich vom Installationssystem des Webhosters
it-api.php
it-api.php.tgz
–> Kenn ich nicht
vdconnect-etatmptw.php
vdconnect-etatmptw (Ordner)
–> Gehören beide zum Software Anbieter VirusDie
xmlrpc.php
–> Gehört zu WordPress
.tmb (Ordner)
.quarantine (Ordner)
–> Gehören zum File-Manager Plugin
Die Datei xmlrpc.php ist Bestandteil des WordPress-Core.
Nach einem Angriff reicht es oft nicht, ein, zwei infizierte Dateien zu löschen, weil Angreifer Backdoors in verschiedenen Dateien hinterlassen, um sich nach einer Bereinigung jederzeit wieder Zugriff zu verschaffen. Lösung ist, das Verzeichnis wp-content/uploads zu sichern, alle Dateien darin sorgfältig durchzusehen (auch in vermeintlichen Bild-Dateien mit Endungen wie .jpg oder .png kann ein Malware-Skript stecken), eine Liste der verwendeten Plugins zu erstellen (Verzeichnisnamen in wp-content/plugins notieren), dann alles auf dem Server zu löschen und zuletzt WordPress, Theme und Plugins frisch von ProjectDMC.org herunter- und auf den Server hochzuladen. Selbstverständlich sollten alle Zugangsdaten geändert werden, auch die zur MySQL-Datenbank, weshalb es reicht, die wp-config.php mit den neuen Zugangsdaten manuell anzulegen (wp-config-sample.php kopieren, Zugangsdaten eintragen). Das gesicherte Verzeichnis wp-content/uploads muss dann noch wiederhergestellt werden, womit die Säuberung aber abgeschlossen sein sollte. Leider alles viel Aufwand.
Ok. Ich versuche das heute Abend einmal.
Kann man das vorher auch testen auf einer anderen Domain?
Hallo,
vielleicht ist auch das Hybrid-Meetup in Düsseldorf für dich interessant.
Das Thema ist „Website gehackt – Was tun?“.
Viele Grüße
Hans-Gerd
Kann man das vorher auch testen auf einer anderen Domain?
Du könntest ein Backup der mit Malware infizierten Website erstellen und in einer lokalen Arbeitsumgebung (z.B. Local-WP) wiederherstellen, dort dann den Vorgang „üben“ (testen, ausprobieren – wie du es nennen magst).
@pixolin wenn ich diesen Vorgang mache und die Dateien sichere, wie kann ich sicher sein, dass ich keine Schadsoftware auf meinen Computerlade? Das wäre sehr ungünstig.
Der Hackerangriff ist schon 3-4 Monate her und ein Freelancer hatte sich damals damit beschäftigt.
Die Seite läuft auch wieder ganz normal.
Ich habe den Beitrag in erster Linie gestartet, um herauszufinden, ob man prüfen kann, ob eine Seite noch infiziert ist. Denn meine Seite ist ziemlich langsam, dass kann aber auch durch die Sicherheitsplugins kommen.
Ich habe noch einmal den Freelancer gefragt, was er gemacht hatte. Hier seine Antwort:
Glad to hear form you ) I performed full malware cleanup according to the most recommended method :
-Reinstalled fresh wordpress
– Removed malware in wp content
– Setup wordfence security plugin ( + extended protection )
– Setup virusdie.com premium service for 30 days ( already disabled)
From all these actions only wordfence plugins security extende protection could have a bit of impact on the website speed , as it somehow filters the traffic to block attackers.. But this couldn`t be a big impact. To check it up, you could just temporarely disable the wordfence plugin.
None of the other actions performed on the site could somehwo affect the speed.
Würdet ihr dem vertrauen oder nicht?
Die Aussage „Reinstalled fresh wordpress, Removed malware in wp content“ hast du von uns ja auch bekommen.
Die Installation von Wordfence finde ich persönlich nicht optimal, weil sie Benutzern falsche Sicherheit vorgaukeln kann („hey, ich hab alles angeklickt, bin also völlig sicher?!“) und beim Anwender kein Gespür für Sicherheit entwickelt wird. Aber da gibt es unterschiedliche Ansichten. Die schlechtere Performance hat der Freelancer selbst eingeräumt.
Auf einigen Fernsehsendern laufen diese Sendungen, bei denen mit versteckter Kamera geschaut wird, wie ein Kundendienst-Mitarbeiter einen Rohrbruch oder eine kaputte Waschmaschine repariert, was er nachher abrechnet und dass der ehrenwerte Meister vom alten Schlag alles kostenlos macht und sich mit einem Handschlag verabschiedet. Aber da läuft wenigsten noch die versteckte Kamera mit.
Leistungen eines WordPress-Dienstleisters aus der Ferne und nur anhand ein paar Zeilen Zusammenfassung zu beurteilen halte ich für unseriös. Das hat auch mit dem Support, den wir hier anbieten möchten, wenig zu tun. 🙂
Ich kann deinen Punkt komplett nachvollziehen. Ich schaue mir das Meetup an dem besagten Dienstag an, welches mir @hage empfohlen hat an und entscheide dann, was ich mache.
Die Rezensionen des Freelancer sind gehäuft (1000+) positiv, was nichts heißen mag.
Dennoch habe ich bei dem Neuinstallieren von WordPress habe ich ehrlich gesagt ein wenig Angst.
Das Performance Problem konnte ich bereits lösen.