Support » Allgemeine Fragen » .htaccess und index.php Virus

  • Gelöst spaten

    (@spaten)


    Hallo, ich möchte alle im Forum begrüßen.
    Seit einiger Zeit versuche ich das Problem zu lösen und bin auch mit dem Support von domainfactory nicht weiter gekommen.
    Vor über einem Monat hatte ich plötzlich Probleme auf das Dashboard zuzugreifen. (forbidden). Ich kontaktierte den Support und die antworteten, dass die htaccess befallen wäre.
    Diverse Versuche das Problem zu lösen brachten nur kleine Verbesserungen. ich kann für ein paar Sekunden zugreifen nachdem ich die Datei .htaccess gelöscht habe. Nach wenigen Sekunden ist es wieder vorbei, die Datei ist wieder da.
    Eine leere bzw auch neu geschriebene habe ich hochgeladen, die wird aber sofort gelöscht und wieder durch die fehlerhafte ersetzt.
    Ein Virenscan von Domainfactory ergab, dass ein Plugin befallen wäre. Das habe ich gelöscht aber das Problem besteht weiterhin. Ein erneuter Scan ergab, dass nun wieder dieses Plugin und noch ein anders befallen wäre, auch gelöscht aber keine Änderung. Ein eigener Scan fand verteilt im FTP-Verzeichnis an diversen Stellen 12x eine htaccess. Löschen bringt nichts.
    Ich habe nun die index.php angeschaut und die sieht total falsch aus. Wenn ich diese lösche bzw mit einer anderen überschreibe wird die htacess nicht mehr neu geschrieben, aber die wp-Site funktioniert nicht mehr.
    Ich muss gestehen, dass ich nicht weiß, wie eine richtige index.php für diese Seite aussehen müsste damit es funktioniert,
    Die Site wurde vor über 14 Jahren gestartet mit einem recht alten Template. Dieses, die WP-Version und die Plugins konnte ich wenigstens auf den neuesten Stand bringen durch schnelles reagieren nach dem Löschen der htaccess. Danach hat es sogar einmal 2 Tage funktioniert. Ich konnte sogar das Banner und den Hintergrund tauschen und ein paar andere sachen machen, z.B. einen neuen Benutzer anlegen und alte löschen. Dazu muss ich sagen, dass die Seite über die Jahre von verschiedenen Leuten betreut wurde.
    Hat jemand Erfahrung darin, nachträglich eine passende index.php zu schreiben?
    Für Tips und Hilfestellungen wäre ich sehr dankbar.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)
  • Wir hatten in den vergangenen Wochen bereits mindestens einen Fall mit ähnlichen „Symptomen“. Leider sind solche Hacks nur aufwändig zu beseitigen, weshalb es meistens einfacher und effizienter ist, ein unkomprimittiertes Backup wiederherzustellen. Wenn du dich selber nicht um Backups gekümmert hast, frag beim Support deines Webhosters nach, ob sie (ggf. gegen eine kleine Gebühr) ein Backup wiederherstellen können.

    Die Reinigung einer gehackten Website ist wie gesagt aufwendig und wir haben den Prozess hier schon einige Male ausführlich beschrieben. Du benötigst ein FTP-Programm, FTP-Zugangsdaten, einen Programmiereditor (z.B. VS Code), Zugangsdaten beim Webhoster und dort Zugriff auf die Datenbankverwaltung. Hier die Schritte:

    • du sicherst das Verzeichnis wp-content/uploads auf deinem Computer und prüfst jede Datei einzeln, ob sie Malware enthält, auch Bild- und andere Mediendateien! (*.jpg, *.png, *.gif, *.ico, *.mov, *.mp3 usw.)
    • Du sicherst die wp-config.php auf deinem Computer und vergleichst sie mit https://core.trac.wordpress.org/browser/trunk/wp-config-sample.php — bis auf die SALT-Keys sollte die Datei keinen verschlüsselten Code enthalten. Sobald du sowas wie base64_decode() oder eval() siehst, musst du die Datei bereinigen.
    • Du notierst auf einem Blatt Papier alle installierten Themes und Plugins, die du weiterhin benutzen möchtest.
    • Du gehst über das Kundenmenü deines Webhosters in die Datenbankverwaltung, rufst die Tabelle wp_users auf und schaust, ob dort Einträge vorhanden sind, die dir komisch vorkommen – löschen.
    • Du löschst alles auf dem Webserver. Mach nicht weiter, bevor alles gelöscht ist. (Warum? Bei der Übertragung per FTP werden vorhandene Dateien ggf. nicht überschrieben und die Dateien mit Malware bleiben erhalten.)
    • Du lädst dir WordPress, die notierten Themes und Plugins aus dem WordPress-Repository bzw. bei gekaufter Software vom Anbieter herunter.
      Es sollte sich von selbst verstehen, dass du keine „genullte“* Software installierst (*Software aus dubiosen Quellen, bei der die Abfrage der Lizenznummer mit Nullen überschrieben wurde).
    • Du entpackst die .zip-Dateien und lädst sie per FTP hoch. Die WordPress-Dateien und Unterverzeichnisse in das Web-Stammverzeichnis, die Themes nach wp-content/themes/, die Plugins nachwp-content/plugins/. Die Sprachdateien holt sich WordPress selber.
    • Du entfernst auf dem Webserver das Verzeichnis wp-content/uploads und lädst das zuvor gesicherte Verzeichnis von deinem Computer hoch. Du hast alle Dateien sorgfältig geprüft?
    • Du lädst die zuvor gesicherte wp-config.php wieder hoch.
    • Du solltest nun die Startseite deiner Website wieder aufrufen und dich auch im Backend wieder anmelden können. Hier gehst du auf Einstellungen > Permalinks und bestätigst die gewünschte Struktur („Beitragsname“?), damit WordPress eine saubere .htaccess anlegt.

    Wenn dir das (verständlicherweise) zu komplex ist, dich nervös macht oder überfordert, sprich einen Dienstleister an. Website-Bereinigung ist immer etwas teurer, weil sch…ön viel Arbeit, aber ein Dienstleister macht das mit mehr Routine.

    Warum reicht es nicht, einfach ein paar Dateien auszutauschen? Weil bei vielen Angriffen so genannte Backdoors eingerichtet werden, über den die Angreifer/-in sich jederzeit wieder Zugang verschaffen kann – du fängst dann von vorne an. Leider werden solche Backdoors leicht übersehen, weil sie sich hinter unverdächtigen Dateinamen (z.B. default.php, blog-settings.php, …) oder in Grafik- oder anderen (vermeintlichen) Mediendateien verstecken.

    Viel Erfolg.

    Hallo,
    Bego hatte ja bereits darauf hingewiesen:

    Wenn dir das (verständlicherweise) zu komplex ist, dich nervös macht oder überfordert, sprich einen Dienstleister an.

    Vielleicht ist es hilfreich, wenn du mal in die Facebook-Gruppe „WordPress Sicherheit – Hackerangriffe, Sicherheitslücken, etc.“ schaust.
    Da sind einige Leute unterwegs, die sich wirklich sehr gut auskennen und dir vielleicht helfen können.

    Viele Grüße
    Hans-Gerd

    Thread-Starter spaten

    (@spaten)

    @hage und pixolin,
    vielen Dank für die Antworten.
    Ich habe jetzt einmal noch via. FTP alles heruntergeladen und mit einem Virenscanner getestet. Dieser hat tatsächlich auch ein backdoor-virus gefunden. Würde es Sinn machen, wenn gesäubert, alles auf dem Server zu löschen und dann wieder die bereinigten Daten hochzuladen oder muss ich damit rechnen dass auch die Datenbank infiziert ist?
    Ich habe zwar früher mit htm(l) gearbeitet, später mit WP und Wix, aber das ist mir jetzt doch zu heikel, zumal es leider keine Sicherung gibt. Die hätte der Betreiber extra beantragen und bezahlen müssen. Ich habe bei Alfahosting ein paar Seiten und bei Strato, da gibt es Sicherungen und sogar Testumgebungen wo man einfach herumtesten kann und die Seite unberührt bleibt.

    Hallo @spaten

    Würde es Sinn machen, wenn gesäubert, alles auf dem Server zu löschen und dann wieder die bereinigten Daten hochzuladen oder muss ich damit rechnen dass auch die Datenbank infiziert ist?

    Ob das Sinn macht, können wir sicher so nicht beurteilen, weil uns die Sicherung nicht vorliegt (die wir hier auch nicht haben wollen). Aus dem Grund haben wir ja auch schon auf Dienstleister verwiesen, die das ggfs. prüfen können.

    Viele Grüße
    Hans-Gerd

    Würde es Sinn machen, wenn gesäubert, alles auf dem Server zu löschen und dann wieder die bereinigten Daten hochzuladen …

    Die Chance, dass du etwas übersiehst, ist groß.
    Danach fängst du von vorne an.

    … muss ich damit rechnen dass auch die Datenbank infiziert ist

    Auch dazu hatte ich was geschrieben.
    Hast du meine Antwort eigentlich gelesen?

    Ich habe zwar früher mit htm(l) gearbeitet …

    Prima. Das ist doch schon mal was.

    Da wir deine Fragen beantwortet haben, markiere ich den Thread als „gelöst“.

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)
  • Das Thema „.htaccess und index.php Virus“ ist für neue Antworten geschlossen.