Support » Allgemeine Fragen » Malware – datei regeneriert sich immer wieder

Malware – datei regeneriert sich immer wieder

  • vanbrel

    (@vanbrel)


    vor 1 Jahr, 2 Monaten

    Hallo

    der malware-scanner hat bei einer gehackten site allerlei angezeigt; habe alles gelöscht und es bleibt ein Problem. die Datei:
    wp-includes/class-wp-http-netfilter.php

    ist wohl daran schuld, dass bei jedem Aufruf der Site Werbung gezeigt wird.

    ich habe den Inhalt gelöscht und neu gespeichert; aber der Inhalt regeniert sich ; auch ein Heruntersetzen der Datei-Berechtigungen bringt nix.

    Was verursacht das Regenerieren? Wie werde ich das los?
    Ideen??
    Grüße

Ansicht von 3 Antworten - 1 bis 3 (von insgesamt 3)
  • bscu

    (@bscu)

    vor 1 Jahr, 2 Monaten

    Was verursacht das Regenerieren?

    Keine Ahnung, das wird dir niemand beantworten können.

    Wie werde ich das los?

    Entweder ein sauberes Backup einspielen oder etwas aufwändiger:

    1. Alles sichern
    2. Die Verzeichnisse wp-admin und wp-includes löschen
    3. Alle *.php Dateien aus dem Root-Verzeichnis löschen
    4. WordPress downloaden, entpacken und alles was gelöscht wurde, aus dem Download wieder auf den Server kopieren.

    Wenn danach immer noch Probleme auftreten, dann eventuelle das Plugin-Verzeichnis löschen und alle Plugins neu installieren. Das gleiche auch mit dem Verzeichnis deines Themes.

    Allerdings wäre ein vorhandenes, sauberes Backup der deutlich bessere und einfachere Weg

    Moderator Bego Mario Garde

    (@pixolin)

    vor 1 Jahr, 2 Monaten

    die Datei: wp-includes/class-wp-http-netfilter.php ist wohl daran schuld, dass bei jedem Aufruf der Site Werbung gezeigt wird.

    Oft werden bei einer Fehlermeldung Dateien genannt, in denen der Fehler auftritt. Das bedeutet aber nicht, dass die Datei selber fehlerhaft ist.

    ich habe den Inhalt gelöscht und neu gespeichert;

    Bringt nichts, wenn der Fehler tatsächlich woanders liegt.

    aber der Inhalt regeniert sich ;

    Angreifer hinterlassen oft neben der eigentlichen Malware eine Backdoor, ein Code, der ihnen jederzeit „durch die Hintertür“ Zutritt verschafft. Deshalb nutzt es nichts, einzelne Dateien auszutauschen. Möglicherweise liegt irgendwo eine Datei blog.php, settings.php, default.php (irgendwas, was erst einmal harmlos klingt), die du übersiehst. Deshalb die Anleitung von @bscu, wie du deinen Webserver komplett säuberst. Umfangreiche, mühsame Arbeit und wenn man sich nicht auskennt, auch oft vergeblich. Im Zweifelsfall suchst du dir besser einen Dienstleister, der das gerne übernimmt. Oder, wie schon von @bscu vorgeschlagen, ein Backup wiederherstellen lassen. Wenn du selbst keine Backups gemacht hast (schade), sprich den Support deines Webhosters an, ob sie ein Backup wiederherstellen.

    Moderator Torsten Landsiedel

    (@zodiac1978)

    vor 1 Jahr, 2 Monaten

    Hi @vanbrel

    Was verursacht das Regenerieren? Wie werde ich das los?

    Offensichtlich ist irgendwo anders auch noch Code, der dafür sorgt.

    Hast du ein Backup, dass nicht betroffen ist? Wenn ja, dann spiele das ein.

    Wenn nicht, dann auf jeden Fall für die Zukunft eines einrichten.

    Im Site Health Plugin kannst du über die Tools einen Integritätscheck machen. Das prüft, ob alle Dateien auch wirklich Original sind. Wenn nein, dann austauschen gegen das Original.

    Leider erkennt das Plugin keine zusätzlichen Dateien, die dort nicht hingehören.

    So einen Scan kann z.B. das WP Cerber Plugin: https://wpcerber.com/

    Eine Firewall wie https://de.wordpress.org/plugins/ninjafirewall/ kann helfen zu verhindern, dass noch mehr passiert. Ist aber auch keine 100%ige Garantie.

    Custom oder Premium Themes/Plugins, die nicht aus dem offiziellen Verzeichnissen stammen sind nicht zu testen und müssen manuell getestet bzw. mit dem Original verglichen werden (ob darin Änderungen sind). Am besten auch hier ein Komplett-Tausch, falls Zusatzdateien versteckt wurden.

    Zuletzt können noch in der wp-config.php und in der .htaccess Änderungen passiert sein, die Auswirkungen haben. Hier immer vorher ein Backup machen und dann erst Änderungen vornehmen.

    Eine gute Anleitung für den Fall eines Hacks ist dieser Artikel:
    https://wordpress.org/documentation/article/faq-my-site-was-hacked/

    Viel Erfolg!

    Beste Grüße
    Torsten

Ansicht von 3 Antworten - 1 bis 3 (von insgesamt 3)
  • Das Thema „Malware – datei regeneriert sich immer wieder“ ist für neue Antworten geschlossen.

Ansichten