Support » Allgemeine Fragen » Backdoor Codeteil?

  • Hallo,ich bin neu hier und habe zugegebenermaßen nicht viel Ahnung von der Programmierung.
    Vom Plugin Wordfence erhalte ich folgende Meldung:
    The issue type is: Backdoor:PHP/checkrequest.eval.8144
    Description: Suspicious code part of a known backdoor
    Dazu einen Fileausschnitt von wp-content/generic.php – ich weiß nicht ob ich diesen Codeabschnitt hier so frei nennen kann oder ob damit jemand der den liest bei mir etwas „anrichten“ kann???

    Danke

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 10 Antworten - 1 bis 10 (von insgesamt 10)
  • Wir brauchen uns den Code eigentlich gar nicht anschauen. Wenn deine Website kompromittiert ist, solltest du sie zügig reparieren: Alle Zugangsdaten austauschen, Dateien (mit Ausnahme eigener Uploads) löschen und WordPress, Themes und Plugins mit frisch heruntergeladenen Dateien ersetzen oder ein unkompromittiertes Backup wiederherstellen.

    FAQ My site was hacked

    Arbeitsschritte Reparatur gehackte Website

    Und im nächsten Schritt solltest du herausfinden, wie du dir das Problem eingetreten hast.
    Was hast du installiert, damit es so weit kam?
    Irgendwelche Plugins aus unseriösen Quellen?
    Oder hast du zu unsichere Login-Daten.
    Ist dein System (Windows?) befallen. Usw usf.
    Nach der Säuberung wie von @pixolin angesprochen, ist das der nxte Schritt!

    @souri:

    Irgendwelche Plugins aus unseriösen Quellen?

    Es können auch seriöse, bekannte, hier im Verzeichnis gelistete sein, welche plötzlich übernommen werden.
    Ab der nächsten Aktualisierung ist der Schadcode überall …

    Mein letzter Fall war ein bekanntes, sehr beliebtes Stats-Plugin. Deren Server wurde gehackt, Schadcode eingeschleust und schon hatten auch wir den Salat.

    Ergo: Suche ich noch immer/wieder eine Infoquelle, welche Plugins listet, meldet, welche aus irgendwelchen Gründen aus dem Verzeichnis genommen wurden.
    Es gab mal einen diesbezüglichen Newsletter (weiß leider den Namen nicht mehr), der leider eingestellt wurde.

    Es gibt aber genügend Seiten von Sicherheitsplugins bzw Code-Audit-Firmen, die Infos zu Schwachstellen in Plugins raushauen.

    Und dein Fall ist sehr krass – ist mir gsd noch nicht untergekommen!
    Welches bekannte Stat-Plugin war das denn??

    Thread-Starter badgus

    (@badgus)

    Hallo, zunächst danke für die Antworten.
    Die diesbezüglich releventen Plugins sind Hide My WP Ghost Lite (4.1.07) und Wordfence security (7.53) Wordfence hat mir die oben genannte Nachricht geschickt. Ich habe übrigens dort nachgefragt, ob man mir von dort helfen könne (ich habe die Premium-Version), man verlangte aber eine vorherige Zahlen von 350 €. Das habe ich abgelehnt. Inzwischen kamen gestern von Wordfence noch vier Meldung, nach Aktialiesierung von Hide My WP von 4.1.06 auf 4.2.07. Darin werden vier Probleme von Wordfence aufgeführt, die den Code dieses Plugins betreffen.
    Finde ich alles sehr verwirrend. Habe inzwischen meine Zugangsdaten für nahezu alles geändert.
    Ich arbeite übrigens mit einem Theme, den mir ein Programmierer vor einigen Jahren erstellt hat und mit MacOS x 14.14.6.

    Mich würde interessieren welche Plugins damit gemeint sind: „Sicherheitsplugins bzw Code-Audit-Firmen, die Infos zu Schwachstellen in Plugins raushauen“.
    Meine Seite ist übrigens: grafs-bio-seiten.de
    Gruß und danke
    badgus

    … man verlangte aber eine vorherige Zahlen von 350 €.

    Dienstleistungen kosten Geld.
    Ob das angemessen ist, werden wir hier nicht diskutieren.

    Habe inzwischen meine Zugangsdaten für nahezu alles geändert.

    Die meisten Angreifer hinterlassen in einer gehackten Website ein Backdoor, um jederzeit die übliche Anmeldung mit Zugangsdaten umgehen zu können. Da hilft es nicht wirklich, wenn du deine Zugangsdaten änderst, sonst aber die Dateien unverändert lässt.

    Mich würde interessieren welche Plugins damit gemeint sind: „Sicherheitsplugins bzw Code-Audit-Firmen, die Infos zu Schwachstellen in Plugins raushauen“.

    Den Sucuri Scanner gibt es als WordPress-Plugin und auch als Online-Dienst unter https://sitecheck.sucuri.net/. Ich bin immer etwas zurückhaltend mit Enmpfehlungen, weil wir hier keine Anleitungen geben möchte, wie sich Sicherheitslücken missbrauchen lassen, aber eine Google-Suche hilft bei der Auswahl weiterer Tools.

    @souri:

    Es gibt aber genügend Seiten von Sicherheitsplugins bzw Code-Audit-Firmen, die Infos zu Schwachstellen in Plugins raushauen.

    Ja genau sowass such ich! Bitte um Links, wenn möglich deutschsprachige Sites – Danke!

    Welches bekannte Stat-Plugin war das denn??

    Krass war das, stimmt.
    Aber trotz aller Probleme, die wir auf einigen Sites deswegen hatten (also komplette Säuberung gem. den Profi-Anleitungen aus dem Forum) – trotzdem will ich dieses Plugin nicht nennen.
    Weil: Die haben sehr schnell reagiert, hatten auch viel Arbeit und Schaden, seither hört man nichts mehr negatives von.
    Es wäre unfair, diese alte Geschichte (2017) wieder namentlich aufzuwärmen. So etwas kann den Besten passieren …
    Es ist auch wieder in diesem Plugin-Verzeichnis aufgenommen worden.

    @pezi:
    z. B. hier und hier (der letzte Link führt allerdings auf eine englischsprachige Seite)

    Danke, Hans – hab schon den NL bestellt!

    @pezi Ich finds nicht so unfair, diese Plugins zu nennen.
    Eigentlich kann es „auch den Besten“ nicht passieren, dass ihre Infrastruktur einfach so gekapert wird.
    Da passen nämlich mehrere Dinge nicht.
    Wenn irgendwer in meinen Code etwas hineinpflanzt, der Code dann ungesehens in das WordPress-Repo ausgeliefert wird und ich das nicht vorab entdecke…
    Dann hab ich ein Problem in meinen Prozessen, aber ein gravierendes.
    Das sollte von allgemeinem Interesse sein und sagt auch viel über den Hersteller aus.

Ansicht von 10 Antworten - 1 bis 10 (von insgesamt 10)
  • Das Thema „Backdoor Codeteil?“ ist für neue Antworten geschlossen.