Deine Seite ist gehackt wenn du dort so etwas findest. Schau dir dazu mal diesen Artikel an: https://de.wordpress.org/support/topic/seite-gehacked-was-tun/
Um noch die ausstehende Frage zu beantworten:
Für mich ergibt der Code überhaupt keinen Sinn. Wurde er vielleicht verschlüsselt?
Angreifer verschlüsseln üblicherweise Schadcode, damit Sicherheitslücken nicht so leicht entdeckt werden.
Die Eingangssequenz der Datei node.php
$ladkpsFSZ5="\143\162\145at\x65\137f\x75n\143\164\151\x6f\156";
heißt entschlüsselt
$ladkpsFSZ5="create_function"
und es lässt sich bereits erahnen, dass danach nicht viel Gutes kommt.
Teilweise wird der Schadcode sogar mehrfach verschlüsselt, um die Analyse der Art des Angriffs zu erschweren. Der Schadcode wird gerne in Dateien mit harmlos klingenden Dateinamen wie z.B. default.php, blog.php oder in deinem Fall node.php (nach der JavaScript-Bibliothek Node.js, die mit PHP nichts zu tun hat).
Eine Reinigung der Website kann nur gelingen, wenn alle Dateien mit eingeschleuster Malware beseitigt werden. Die Dateien von WordPress-Core, Themes und Plugins gegen von WordPress.org frisch heruntergeladene auszutauschen ist sinnvoll, setzt aber voraus, dass alle Dateien auf dem Server vorher gelöscht werden. Durch reines Überschreiben werden Dateien wie node.php nicht erfasst.
Achte darauf, dass die Inhalte von wp-content gesondert gesichert und durchgesehen werden müssen, weil eigene Inhalte nicht einfach durch den Download aus dem WordPress-Verzeichnis ersetzt werden können. Angreifer wissen das und platzieren besonders gerne in diesem Verzeichnis Malware, manchmal sogar als vermeintliche .jpg-Datei getarnt.
Vielen Dank für eure Antworten.
Ich denke ich werde die Seite einfach komplett neu aufsetzen.
Die Seite ist nicht sehr groß und vermutlich würde alles andere länger dauern.
Aber immerhin habe ich wieder was dazu gelernt 😛
Dann setze ich den Thread auf gelöst (bitte nächstes Mal selbst daran denken 🙂 )
Damit dir das nicht erneut passiert, nachfolgend noch ein paar Tipps/Hinweise (vor allem Punkt 3.):
- Hacker interessieren sich nicht für Ihre Website – wirklich?
- Wieso eine gehackte Website Sie persönlich betrifft
- Kleine Checkliste für die Sicherheit
@la-geek @pixolin
Wäre es nicht sinnvoll, den hier veröffentlichen Schadcode aus diesem Thread zu entfernen? Man muss ja nicht unbedingt auch noch Vorlagen liefern 😉 😉
@bscu Ich schneide mal einen Teil des Codes ab. Allerdings kannst du über Suchmaschinen solche Code-Beispiele mit wenig Aufwand abrufen und es wird sich ja hoffentlich niemand den Code auf seinen eigenen Server laden. Schwieriger ist es, diesen Code auf fremden Websites einzuschleusen und dazu geben wir hier natürlich keine Auskunft.
Der hier genannte Schadcode hätte übrigens auf einem Server mit PHP 8.x „nur“ einen Fatal Error erzeugt, weil darin die veraltete Funktion create_function() verwendet wird.
Lesenswerte Beiträge zu verschlüsselter Malware:
