Wo kommt „functions.php.orig“ usw. her?

  • Gelöst Anonymous User 20597857

    (@anonymized-20597857)


    vor 2 Jahren, 5 Monaten

    Bei einem Dateivergleich bemerkte ich auf zwei Websites Dateien, die nicht wirklich zum WP Core gehören.
    Z.B.: eine „/wp-includes/functions.php.orig“ und eine „/wp-admin/includes/upgrade.php.orig„.

    Auch das dann installierte Wordfence Plugin bestätigt, dass die da nix verloren haben.
    Der Vergleich mit den gleichnamigen WP-Core Dateien (ohne *.orig dran) auf Quelltextebene zeigt sehr viele Unterschiede, auch die Datumsangaben differieren um Jahre.

    Checks der komischen Dateien über virustotal, bzw. mit lokalen AV-Tools bezeugen keinen Schadcode.

    Auf einer nicht öffentlichen Testsite habe ich die gelöscht, was wie erwartet keine Auswirkung hat. Jene Site verhielt sich aber auch mit diesen Dateien nicht verdächtig, oder so.

    Es gibt etliche, hpts. fremdsprachige SERP’s, bzw. das hier zum Thema, aber nirgends blicke ich durch.

    Die Antworten der jeweiligen Hoster stehen noch aus.

    Falls da jemand mehr darüber weiß, bitte ich Namen der jew. Betreiber um Infos dazu, danke!

Ansicht von 3 Antworten – 1 bis 3 (von insgesamt 3)
  • Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    vor 2 Jahren, 5 Monaten

    Vermutlich hast du in einer bestehenden WordPress-Installation ein Backup wiederhergestellt, bei dem die Dateien nicht einfach nur überschrieben werden, sondern die „originalen“ Dateien mit dem Zusatz .orig gespeichert werden. Wenn du per SSH auf den Server zugreifen kannst, lassen sich diese Dateien nach sorgfältiger Prüfung der Website mit einem einzigen Linux-Befehl löschen. Unter Umständen bietet das Backup-Plugin dafür einen eigenen Menüpunkt.

    Auch das dann installierte Wordfence Plugin …

    Du enttäuschst mich. 😛

    All-in-One-Security-Plugins sind die Multivitaminbonbons von WordPress: Kann man nehmen, gaukeln Top-Gesundheit vor, der Nutzen ist zumindest umstritten, Fitness geht anders. Erstaunlich, wie oft All-in-One-Security-Plugins gravierende Sicherheitslücken haben.

    Thread-Starter Anonymous User 20597857

    (@anonymized-20597857)

    vor 2 Jahren, 5 Monaten

    Ja, das mit dem Backup stimmt – und das ist auch so plausibel!
    SSH haben die nicht, aber geht ja auch per FTP. Ob deren Backup-Plugins so eine Funktion haben, werde ich testen, glaube aber nicht.

    Wie auch immer, werde dem näher nachgehen, ob es wirklich nur durch das Restore zustande kam. Weil was mir dabei nicht so eingeht, ist, warum grade diese beiden?
    Als Core Dateien können die ja bedenkenlos ausgetauscht werden …

    All-in-One-Security-Plugins sind die Multivitaminbonbons

    weiß ich eh, war ja nur ein Test, auf einer Testseite.
    Wordfence ist aber sehr nützlich, weil man mit deren Report eben Bescheid weiß, was so vorgeht.
    Eben das ausgerechnet die Security Plugins oft selber das Problem und keine Lösung sind.

    PS: Eh arg: „Letzte Woche wurden 62 Schwachstellen in 1035 WordPress-Plugins und …“ 1035!

    Thread-Starter Anonymous User 20597857

    (@anonymized-20597857)

    vor 2 Jahren, 5 Monaten

    Die Antwort eines Hosters bestätigt, dass die harmlos sind, die Dateien aber zu alt seien, um noch was nachzuvollziehen.

    Was ich (aufgrund der stetig angelegten Notizen zu jedem Projekt) nachvollziehen konnte ist, dass bei einer davon zu dem Zeitpunkt der letzte große Relaunch hochgeladen, fertiggestellt wurde.
    + Das bei beiden WP 5.6 auf 5.6.1 updatet wurde
    + Das überall das Complianz Plugin erstmal neu installiert wurde
    + und beide Themes aktualisiert wurden.
    + ja, wie schon gesagt, wurde ein komplettes Backup als komplette Basis für den Relaunch herangezogen und neu gestylt wieder von Staging restored.

    Ergo sind es doch einige hausgemachte Faktoren da, die daran „Schuld“ sein könnten.

Ansicht von 3 Antworten – 1 bis 3 (von insgesamt 3)

Das Thema „Wo kommt „functions.php.orig“ usw. her?“ ist für neue Antworten geschlossen.