Support » Allgemeine Fragen » WordPress Maleware

  • ballibum

    (@ballibum)


    Hi,
    ich betreibe eine einfache WordPresswebseite mit relativ vielen Plugins (bei Bedarf kann ich eine Liste liefern), nun habe ich einen Hinweis auf Maleware von einem Pleskmodule(ImunifyAV) erhalten. Alle meine Plugins und auch der Kern (5.3.2) sind laut Dashboard aktuell. Auch sind die Dateiberechtigungsscans alle grün.

    Es sind genau die Dateien die auch im iThemes security protokoll auftauchen. Laut Google Recherche soll ich mir keine weitere Platte machen – kann das tatsächlich sein oder sollte ich schnellst möglichst irgendwas (wenn ja was) tun? Und warum ändert ein Cronjob überhaupt soviele Dateien innerhalb einer Instanz?

    mit besten Grüßen
    Tim

    iThemes security protokoll:

    Dateiänderung 
    Typ	Warnung
    Beschreibung	15 hinzugefügt, 0 entfernt, 7 geändert
    Zeitstempel	2020-01-18 13:28:15
    Benutzer	
    URL	Geplante WP-Cron-Aufgabe
    Geändert	
    wp-admin/includes/meta-boxes.php
    wp-content/plugins/all-in-one-seo-pack/js/modules/index.php
    wp-content/plugins/iwp-client/addons/file_editor/file_editor.class.php
    wp-content/plugins/iwp-client/lib/Google/Verifier/Pem.php
    wp-content/plugins/woocommerce/includes/admin/class-wc-admin-permalink-settings.php
    wp-settings.php
    index.php
    Entfernt	
    Hinzugefügt	
    wp-includes/theme-compat/bztxtnsx.php
    wp-includes/js/jcrop/aeuoimfy.php
    wp-content/themes/meinTheme/woocommerce/xhyxgfmo.php
    wp-content/plugins/wp-google-maps-pro/images/ensxozmi.php
    wp-content/plugins/kwngtln/log.txt
    wp-content/plugins/kwngtln/index.php
    wp-content/plugins/bcmvqxk/log.txt
    wp-content/plugins/bcmvqxk/index.php
    wp-content/plugins/all-in-one-seo-pack/admin/onpscnpd.php
    wp-content/plugins/bdriydc/login_wall.php
    wp-content/plugins/wp-google-maps/base/cvvrpdoz.php
    wp-content/plugins/gleptdf/login_wall.php
    wp-content/uploads/fusion-styles/fusion-929.css
    wp-content/uploads/revslider/yruqwgmn.php
    tmp/index.php
    Total Memory	25.69 MB
    Verwendeter Arbeitsspeicher	10.33 MB
    Unverarbeitete Details	
    Unverarbeitete Details anzeigen
    
    id               => 131389
    module           => file_change
    type             => warning
    code             => changes-found::15,0,7
    timestamp        => 2020-01-18 12:28:15
    init_timestamp   => 2020-01-18 12:28:15
    remote_ip        => 81.169.131.5
    user_id          => [empty string]
    url              => wp-cron
    memory_current   => 15284360
    memory_peak      => 22317256
    data             => Array
        added         => Array
            wp-includes/theme-compat/bztxtnsx.php                       => Array
                d   => [integer] 1573985130
                h   => bf0a113429070f7cf98dab8c0eb4eb5f
                t   => a
                s   => [integer] 1
                p   => WordPress Core v5.3.2
            wp-includes/js/jcrop/aeuoimfy.php                           => Array
                d   => [integer] 1573985130
                h   => c6de303f4d19a43454d056b002ed00ec
                t   => a
                s   => [integer] 1
                p   => WordPress Core v5.3.2
            wp-content/themes/meinThemes/woocommerce/xhyxgfmo.php         => Array
                d   => [integer] 1573985130
                h   => 01d1de43aa4c6474d5fc41dbcc983dda
                t   => a
                s   => [integer] 1
                p   => Avada theme v5.4.2
            wp-content/plugins/wp-google-maps-pro/images/ensxozmi.php   => Array
                d   => [integer] 1573985130
                h   => 36ce6b6b28a6b35faa559644fc48783f
                t   => a
                s   => [integer] 1
                p   => WP Google Maps - Pro Add-on plugin v5.80
            wp-content/plugins/kwngtln/log.txt                          => Array
                d   => [integer] 1579314790
                h   => 34a575b4fe98c883391ac14e2a82a683
                t   => a
                s   => [integer] 1
                p   => CMSmap - WordPress Shell plugin v1.0
            wp-content/plugins/kwngtln/index.php                        => Array
                d   => [integer] 1579314790
                h   => 7916633ab9fd59aa6a23f09091f7fe23
                t   => a
                s   => [integer] 1
                p   => CMSmap - WordPress Shell plugin v1.0
            wp-content/plugins/bcmvqxk/log.txt                          => Array
                d   => [integer] 1579314902
                h   => 34a575b4fe98c883391ac14e2a82a683
                t   => a
                s   => [integer] 1
                p   => CMSmap - WordPress Shell plugin v1.0
            wp-content/plugins/bcmvqxk/index.php                        => Array
                d   => [integer] 1579314902
                h   => 7916633ab9fd59aa6a23f09091f7fe23
                t   => a
                s   => [integer] 1
                p   => CMSmap - WordPress Shell plugin v1.0
            wp-content/plugins/all-in-one-seo-pack/admin/onpscnpd.php   => Array
                d   => [integer] 1573985130
                h   => de14bf3a697749461344b4e6a4296c12
                t   => a
                s   => [integer] 1
                p   => All In One SEO Pack plugin v3.3.3
            wp-content/plugins/bdriydc/login_wall.php                   => Array
                d   => [integer] 1579314868
                h   => 229a4a39371b473707f18337bd8ac9d8
                t   => a
                s   => [integer] 1
                p   => Login Wall plugin v1.1.0
            wp-content/plugins/wp-google-maps/base/cvvrpdoz.php         => Array
                d   => [integer] 1573985130
                h   => a2f5666ece0fbe121995bfe7c89334a9
                t   => a
                s   => [integer] 1
                p   => WP Google Maps plugin v8.0.9
            wp-content/plugins/gleptdf/login_wall.php                   => Array
                d   => [integer] 1579314762
                h   => 229a4a39371b473707f18337bd8ac9d8
                t   => a
                s   => [integer] 1
                p   => Login Wall plugin v1.1.0
            wp-content/uploads/fusion-styles/fusion-929.css             => Array
                d   => [integer] 1579303613
                h   => 88db7b31162e071cec6107277962bc48
                t   => a
                s   => [integer] 1
                p   => Unbekannt
            wp-content/uploads/revslider/yruqwgmn.php                   => Array
                d   => [integer] 1573985130
                h   => e72d97960a74640323cbb9bbed41675f
                t   => a
                s   => [integer] 1
                p   => Unbekannt
            tmp/index.php                                               => Array
                d   => [integer] 1562552179
                h   => d508fb1108524fd1d0e231cc6c7282a6
                t   => a
                s   => [integer] 1
                p   => Unbekannt
        removed       => Array()
        changed       => Array
            wp-admin/includes/meta-boxes.php                                                      => Array
                d   => [integer] 1573726596
                h   => ba66b73f0d0dfe39790e2468d8c49d66
                t   => c
                s   => [integer] 1
                p   => WordPress Core v5.3.2
            wp-content/plugins/all-in-one-seo-pack/js/modules/index.php                           => Array
                d   => [integer] 1574101117
                h   => f731730c1718d25c0dae44fb34ce27e9
                t   => c
                s   => [integer] 1
                p   => All In One SEO Pack plugin v3.3.3
            wp-content/plugins/iwp-client/addons/file_editor/file_editor.class.php                => Array
                d   => [integer] 1568646298
                h   => ab6aaf9988389367465a0242c3d8147c
                t   => c
                s   => [integer] 1
                p   => InfiniteWP - Client plugin v1.9.4.1
            wp-content/plugins/iwp-client/lib/Google/Verifier/Pem.php                             => Array
                d   => [integer] 1568646299
                h   => d6297136769007fd57de4c8ee18af99e
                t   => c
                s   => [integer] 1
                p   => InfiniteWP - Client plugin v1.9.4.1
            wp-content/plugins/woocommerce/includes/admin/class-wc-admin-permalink-settings.php   => Array
                d   => [integer] 1573725429
                h   => 6b087a032497275feccc9885bcf5fc6a
                t   => c
                s   => [integer] 1
                p   => WooCommerce plugin v3.8.0
            wp-settings.php                                                                       => Array
                d   => [integer] 1567533164
                h   => 1ee862cb2eb5a687827bf8de78d695b1
                t   => c
                s   => [integer] 1
                p   => WordPress Core v5.3.2
            index.php                                                                             => Array
                d   => [integer] 1555628751
                h   => b2de831b9c8aaa3bba563f1e593127eb
                t   => c
                s   => [integer] 1
                p   => WordPress Core v5.3.2
        memory        => [double] 10.33
        memory_peak   => [double] 25.69', ENT_COMPAT);
Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Sven Bolz

    (@svenbolz)

    Moin, du solltest auf jeden Fall etwas tun.

    Die sonderbaren Dateinamen wie „bztxtnsx.php“ gehören da nicht hin und sind Malware. Kann gut sein, dass jetzt z.B. Besucher, die über ein Google-Suchergebnis auf der Seite landen, auf dubiose andere Seiten weitergeleitet werden. Ich kenne diese kryptischen Namen von diversen Webseiten, die ich als Auftragsarbeit bereinigen durfte.

    Da du erwähnt hast, dass du viele Plugins benutzt: höchstwahrscheinlich hat eines davon eine Sicherheitslücke. Auf https://wpvulndb.com/ kannst du nachschauen, ob es bekannte Lücken in den Plugins gibt.

    Moderator Bego Mario Garde

    (@pixolin)

    Meistens hilft schon ein Blick in solche Dateien, in der Malware-Code gerne verschlüsselt wird. Normale Plugin- und Theme-Dateien enthalten immer im Klartext lesbaren (und damit meist gut nachvollziehbaren) Code. Vorsicht bei der Behebung solcher Malware-Infektionen: zu leicht werden Backdoors (z.B. als jpg-Dateien getarnte Skripte im Uploads-Verzeichnis) übersehen. Die Arbeitsschritte zur Reparatur einer gehackten Website haben wir hier schon öfters besprochen. Unseren FAQ-Beitrag findest du hier, eine Anleitung zur Reparatur kannst du hier nachlesen.

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Das Thema „WordPress Maleware“ ist für neue Antworten geschlossen.