[ad_1]
Hallo,
ich habe nun die Lösung gefunden und da nur allgemeine Informationen kamen, die nicht wirklich weiter halfen, möchte ich gerne erzählen, wie ich die Plagegeister wieder losgeworden bin.
Zunächst einmal wurde auf Wordfence verwiesen. Das habe ich installiert und dann bemerkt, dass es in der kostenlosen Version unbrauchbar war. Mit Ninja Scan habe ich dann ein anderes, kostenloses Scantool gefunden, das mir anzeigte, wo die Plagegeister alle saßen. Ich hatte stets einige übersehen und die haben dann wie ein Backdoor funktioniert.
Zunächst einmal infiziert die Malware (von der ich immer noch nicht weiß, wie sie überhaupt auf den Server gelangt ist) die index.php in allen Verzeichnissen, die sie finden kann, sowie die wp-config.php Sie schreibt dazu den o.a. Code direkt unter das php-Tag.
Zweitens infiziert sie zahlreiche Dateien in der wp-admin und wp-includes.
Drittens verändert sie (seltsamerweise) ein paar css-Datein von Plugins indem sie ganze Anweisungsblöcke löscht.
Vierterns legt sie ein Schein-Plugin an
Fünftens legt sie ein Schein- Theme an.
Nachdedm also die Index.php, die config.php etc. gesäubert wurden, habe ich das Schein-Theme und das Schein-Plugin gelöscht. Die css-Dateien hat mir freundlicherweise Ninja Scan repariert.
Dann wp-admin und wp-includes löschen und saubere Versionen hochladen. Achtung! Vorher unter wp-includes/version.php die aktuell verwendete Version auslesen, sonst gibt’s Probleme.
Übrigens: Der letzte Schritt sollte der erste sein, falls Ihr mit Ninja Scan arbeiten wollt, denn mit den infizierten Versionen bricht der Scan ab.
Übrigens führte die Infektion nicht zu einer Blacklistung. Virustotal fand die Seite auch total unauffällig. Über den Browser wurde nichts ausgeliefert und nichts ausspioniert. Es scheint, als sei die Malware eine reine Webmaster/Serveradmin Beschäftigungstherapie.
- Diese Antwort wurde geändert vor 1 Stunde, 39 Minuten von .
- Diese Antwort wurde geändert vor 1 Stunde, 32 Minuten von .