Support » Allgemeine Fragen » Plötzlich viele Dateien im cache Ordner

  • Hallo,

    ich lasse meine Installation per cron täglich auf neue Dateien überprüfen (nachdem ich vor Jahren einmal gehackt wurde).
    Seit einiger Zeit werden nun regelmäßig neue Dateien im Ordner …/wp-content/cache generiert. Die Dateien sind binär und haben alle die Größe 5kB und Dateinamen wie 78d155858e1f80e29a22f30c1805b5d9376e1c797…….
    Ich habe kein cache Plugin laufen und eigentlich auch keine dynamisch erzeugten Seiten.

    Ich nehme an, dass dies seit einem update auftritt, habe aber leider nicht genau beobachtet, seit wann es auftritt.

    Wie kann ich herausfinden, was diese Seiten erzeugt und das wieder abstellen?

    WP Version 5.5.38 (ich muss leider aus anderen Gründen noch mit einer alten php Version arbeiten)
    Plugins (alle aktuell):
    Black Studio Touch Dropdown Menu
    Cookie Notice & Compliance for GDPR / CCPA
    Hotfix
    TinyMCE Advanced
    WordPress Datenbank Backup
    WP Mailto Links – Hide & Protect Emails
    WP Statistics

    Danke,
    Dieter

Ansicht von 10 Antworten - 1 bis 10 (von insgesamt 10)
  • Ich habe kein cache Plugin laufen

    Sieh‘ dir mal die wp-config.php an, ob darin ENABLE_CACHE zu finden ist.

    @bscu: könnte das nicht auch define('WP_CACHE', true); sein? – müsste dann allerdings natürlich auf false eingestellt werden.

    Thread-Starter DieterB

    (@dieterb)

    Danke Euch beiden, ich fürchte allerdings, dass ich wieder gehackt wurde. Ob das mit den cache Dateien zusammen hängt weiß ich noch nicht. Auf jeden Fall habe ich jetzt nach Durchsicht meiner log Dateien gesehen, dass etwa Zeitgleich auch php Dateien ergänzt wurden in denen reiner Binär-Code ist. Das kommt mir sehr verdächtig vor.

    Könnte mir vielleicht jemand sagen, ob in einer regulären Installation folgende Dateien vorkommen:
    wp-admin/admin-menu.php
    wp-admin/includes/class-wp-filesystem-path.php

    Und falls ja, ob sich darin normaler code oder Binärcode befindet.

    Sieht bei mir aktuell etwa so aus (Punkte stammen von mir):
    <?php /*Yc7+….!j}*/$MaJev=….x2aU\xb….

    Hallo,
    bei einer WordPress-Version vom Januar, die ich hier lokal entpackt, sind diese Dateien nicht dabei. Sonst schau doch mal bitte in den folgenden Beitrag.
    Viele Grüße
    Hans-Gerd

    Das

    <?php /*Yc7+….!j}*/$MaJev=….x2aU\xb….

    kommt in keinem WordPress-Script vor

    ich fürchte allerdings, dass ich wieder gehackt wurde.

    Davon kannst du ausgehen. Diese beiden Dateien habe ich bei mir auch nicht gefunden.

    Thread-Starter DieterB

    (@dieterb)

    Danke Euch beiden. Seite ist natürlich schon vom Netz.
    Schön, dass man wieder etwas zu tun hat 🙁

    Offenbar wurde der Hack nicht vollständig bereinigt. Wie bist du vorgegangen?
    Am besten ist immer ein Runderneuern der Seite.
    Kurzbeschreibung dazu:
    https://forum.wpde.org/threads/wss-php-gehackt.180961/#post-750981

    SEO Spam im cache Verzeichnis ist ein typisches Symptom.

    https://website-bereinigung.de/blog/wordpress-absichern
    Vermeidet viele Hacks im Vorhinein.
    Und auch als Post-Hack Maßnahme sind die 3 Schritte sehr nützlich.

    Gruß

    Pascal

    • Diese Antwort wurde geändert vor 1 Jahr, 11 Monaten von Pascal.
    Thread-Starter DieterB

    (@dieterb)

    Der alte Hack war noch mit einem anderen CMS.

    Um den aktuellen zu beseitigen, werde ich mich sicher an die Anleitungen halten. Vermutlich ist das Problem aber auch die alte php Version und damit verbunden die alte WP Version.

    Für die Umstellung der php Version müssen aber noch zahlreiche andere Programme umgestellt werden. Ich muss mal schauen, ob ich die Seite auf einen anderen Server verschiebe, der php mäßig aktueller ist.

    edit: ist da jetzt ein Beitrag von Pascal, auf den ich hier geantwortet habe, wieder verschwunden?

    Moderationshinweis: der Beitrag von @kitepascal wurde von Akismet als Spam eingeordnet und musste manuell frei geschaltet werden.

    • Diese Antwort wurde geändert vor 1 Jahr, 11 Monaten von DieterB.
    • Diese Antwort wurde geändert vor 1 Jahr, 11 Monaten von DieterB.
    • Diese Antwort wurde geändert vor 1 Jahr, 11 Monaten von Hans-Gerd Gerhards.

    Ja, weil ich 2 gute Links zum Thema gepostet habe – einen nachträglich eingefügt. Vermutlich läuft das dann automatisch durch die Moderation ab 2 Links, um Spam zu vermeiden. Sollte gleich wieder sichtbar sein.

    Ein separater Webspace wäre sicher vernünftig. Generell sollte man nicht mehrere Installationen nicht-isoliert voneinander auf einem Webspace betreiben.

    Wenn teils Schadcode auf dem Webspace liegt, sind sonst nämlich alle Seiten/Installationen in Gefahr. Breitet sich aus.

Ansicht von 10 Antworten - 1 bis 10 (von insgesamt 10)
  • Das Thema „Plötzlich viele Dateien im cache Ordner“ ist für neue Antworten geschlossen.