WordPress FTP Dateien unbekannt
-
Hallo,
meine WordPress Website wurde einmal anscheinend gehackt und dann hat ein Freelancer diese wieder gesichert…
Jetzt habe ich zwei Sicherheitsplugins installiert und die Seite ist langsam.
Wordfence und Anti-Malware-Sicherheit und Brute-Force-Firewall
Im FTP Server werden viele Dateien angezeigt, die ich nicht identifizieren kann. Ich habe diese auch einmal umbenannt und das hat auf die Website keine Auswirkungen, soweit ich das sehen konnte.
Kann ich die Dateien jetzt löschen?
Gibt es ein Tool mit dem man überflüssige Dateien löschen kann?
Gibt es eine Möglichkeit, die Seite so zu kopieren, dass man auf ein WordPress nur die Plugins und Inhalte überträgt?
Was sind eure Tipps?
-
Wie heißen diese Dateien und wo befinden sie sich?
Es befinden sich im Stamverzeichnis:
.htig8ckk.appconfig.php
it-api.php
it-api.php.tgz
vdconnect-etatmptw.php
xmlrpc.php
vdconnect-etatmptw (Ordner)
.tmb (Ordner)
.quarantine (Ordner)
Die beiden letzten Ordner sind aber leer.
Es befinden sich im Stamverzeichnis:
.htig8ckk.appconfig.php
–> Vermutlich vom Installationssystem des Webhostersit-api.php
it-api.php.tgz
–> Kenn ich nichtvdconnect-etatmptw.php
vdconnect-etatmptw (Ordner)
–> Gehören beide zum Software Anbieter VirusDiexmlrpc.php
–> Gehört zu WordPress.tmb (Ordner)
.quarantine (Ordner)
–> Gehören zum File-Manager PluginDie Datei
xmlrpc.php
ist Bestandteil des WordPress-Core.Nach einem Angriff reicht es oft nicht, ein, zwei infizierte Dateien zu löschen, weil Angreifer Backdoors in verschiedenen Dateien hinterlassen, um sich nach einer Bereinigung jederzeit wieder Zugriff zu verschaffen. Lösung ist, das Verzeichnis
wp-content/uploads
zu sichern, alle Dateien darin sorgfältig durchzusehen (auch in vermeintlichen Bild-Dateien mit Endungen wie.jpg
oder.png
kann ein Malware-Skript stecken), eine Liste der verwendeten Plugins zu erstellen (Verzeichnisnamen inwp-content/plugins
notieren), dann alles auf dem Server zu löschen und zuletzt WordPress, Theme und Plugins frisch von WordPress.org herunter- und auf den Server hochzuladen. Selbstverständlich sollten alle Zugangsdaten geändert werden, auch die zur MySQL-Datenbank, weshalb es reicht, diewp-config.php
mit den neuen Zugangsdaten manuell anzulegen (wp-config-sample.php
kopieren, Zugangsdaten eintragen). Das gesicherte Verzeichniswp-content/uploads
muss dann noch wiederhergestellt werden, womit die Säuberung aber abgeschlossen sein sollte. Leider alles viel Aufwand.Ok. Ich versuche das heute Abend einmal.
Kann man das vorher auch testen auf einer anderen Domain?
Hallo,
vielleicht ist auch das Hybrid-Meetup in Düsseldorf für dich interessant.
Das Thema ist „Website gehackt – Was tun?“.Viele Grüße
Hans-GerdKann man das vorher auch testen auf einer anderen Domain?
Du könntest ein Backup der mit Malware infizierten Website erstellen und in einer lokalen Arbeitsumgebung (z.B. Local-WP) wiederherstellen, dort dann den Vorgang „üben“ (testen, ausprobieren – wie du es nennen magst).
@pixolin wenn ich diesen Vorgang mache und die Dateien sichere, wie kann ich sicher sein, dass ich keine Schadsoftware auf meinen Computerlade? Das wäre sehr ungünstig.
Der Hackerangriff ist schon 3-4 Monate her und ein Freelancer hatte sich damals damit beschäftigt.
Die Seite läuft auch wieder ganz normal.
Ich habe den Beitrag in erster Linie gestartet, um herauszufinden, ob man prüfen kann, ob eine Seite noch infiziert ist. Denn meine Seite ist ziemlich langsam, dass kann aber auch durch die Sicherheitsplugins kommen.
Ich habe noch einmal den Freelancer gefragt, was er gemacht hatte. Hier seine Antwort:
Glad to hear form you ) I performed full malware cleanup according to the most recommended method :
-Reinstalled fresh wordpress
– Removed malware in wp content
– Setup wordfence security plugin ( + extended protection )
– Setup virusdie.com premium service for 30 days ( already disabled)
From all these actions only wordfence plugins security extende protection could have a bit of impact on the website speed , as it somehow filters the traffic to block attackers.. But this couldn`t be a big impact. To check it up, you could just temporarely disable the wordfence plugin.
None of the other actions performed on the site could somehwo affect the speed.
Würdet ihr dem vertrauen oder nicht?
Die Aussage „Reinstalled fresh wordpress, Removed malware in wp content“ hast du von uns ja auch bekommen.
Die Installation von Wordfence finde ich persönlich nicht optimal, weil sie Benutzern falsche Sicherheit vorgaukeln kann („hey, ich hab alles angeklickt, bin also völlig sicher?!“) und beim Anwender kein Gespür für Sicherheit entwickelt wird. Aber da gibt es unterschiedliche Ansichten. Die schlechtere Performance hat der Freelancer selbst eingeräumt.
Auf einigen Fernsehsendern laufen diese Sendungen, bei denen mit versteckter Kamera geschaut wird, wie ein Kundendienst-Mitarbeiter einen Rohrbruch oder eine kaputte Waschmaschine repariert, was er nachher abrechnet und dass der ehrenwerte Meister vom alten Schlag alles kostenlos macht und sich mit einem Handschlag verabschiedet. Aber da läuft wenigsten noch die versteckte Kamera mit.
Leistungen eines WordPress-Dienstleisters aus der Ferne und nur anhand ein paar Zeilen Zusammenfassung zu beurteilen halte ich für unseriös. Das hat auch mit dem Support, den wir hier anbieten möchten, wenig zu tun. 🙂Ich kann deinen Punkt komplett nachvollziehen. Ich schaue mir das Meetup an dem besagten Dienstag an, welches mir @hage empfohlen hat an und entscheide dann, was ich mache.
Die Rezensionen des Freelancer sind gehäuft (1000+) positiv, was nichts heißen mag.
Dennoch habe ich bei dem Neuinstallieren von WordPress habe ich ehrlich gesagt ein wenig Angst.
Das Performance Problem konnte ich bereits lösen.
Dennoch habe ich bei dem Neuinstallieren von WordPress habe ich ehrlich gesagt ein wenig Angst.
Du meinst den Austausch der Dateien?
Du kannst doch erst einmal alle Dateien auf dem Server herunterladen und in einem „Quarantäne-Verzeichnis“ auf deinem Computer parken. Bitte nicht ein Backup der Datenbank vergessen.
Nehmen wir an, ich habe als Angreifer im Verzeichnis
wp-includes/php-compat
eine Dateidefault.php
gespeichert, in der sich ein Malware-Skript befindet. Mit einem erneuten WordPress-Update wird die Datei weder überschrieben (es gibt sie ja nicht im Core) noch gelöscht. Aufgrund des Namens wirst du auch nicht direkt darauf kommen, dass es sich um Malware handelt. Unter Umständen kannst du solche Skripte mit grep-Funktionen mühsam aufspüren, aber das sicherste ist einfach, alles vom Server zu löschen und durch unkompromittierte Dateien zu ersetzen.Ich gehe gehackte Website immer sehr pragmatisch an: „Forensik“ ist zeitaufwändig, bringt meistens wenig. Eine individuelle Suche kostet ebenfalls viel Zeit. Mir ist lieber, die Plugin-Verzeichnisnamen für ein Skript in eine Datei zu kopieren und dann nach Löschung aller Dateien per WP-CLI in einem Schwung aus sicheren Quellen zu installieren – alles möglichst effizient und ohne mit dem Schicksal zu hadern. 😀
Ok gut. Gibt es eine detaillierte Anleitung, wie ich das durchführen kann.
Damit wäre mir glaube ich sehr geholfen.
- Das Thema „WordPress FTP Dateien unbekannt“ ist für neue Antworten geschlossen.