WordPress Maleware | WordPress.org Deutsch

(@ballibum)

Hi,
ich betreibe eine einfache WordPresswebseite mit relativ vielen Plugins (bei Bedarf kann ich eine Liste liefern), nun habe ich einen Hinweis auf Maleware von einem Pleskmodule(ImunifyAV) erhalten. Alle meine Plugins und auch der Kern (5.3.2) sind laut Dashboard aktuell. Auch sind die Dateiberechtigungsscans alle grün.

Es sind genau die Dateien die auch im iThemes security protokoll auftauchen. Laut Google Recherche soll ich mir keine weitere Platte machen – kann das tatsächlich sein oder sollte ich schnellst möglichst irgendwas (wenn ja was) tun? Und warum ändert ein Cronjob überhaupt soviele Dateien innerhalb einer Instanz?

mit besten Grüßen
Tim

iThemes security protokoll:

Dateiänderung 
Typ	Warnung
Beschreibung	15 hinzugefügt, 0 entfernt, 7 geändert
Zeitstempel	2020-01-18 13:28:15
Benutzer	
URL	Geplante WP-Cron-Aufgabe
Geändert	
wp-admin/includes/meta-boxes.php
wp-content/plugins/all-in-one-seo-pack/js/modules/index.php
wp-content/plugins/iwp-client/addons/file_editor/file_editor.class.php
wp-content/plugins/iwp-client/lib/Google/Verifier/Pem.php
wp-content/plugins/woocommerce/includes/admin/class-wc-admin-permalink-settings.php
wp-settings.php
index.php
Entfernt	
Hinzugefügt	
wp-includes/theme-compat/bztxtnsx.php
wp-includes/js/jcrop/aeuoimfy.php
wp-content/themes/meinTheme/woocommerce/xhyxgfmo.php
wp-content/plugins/wp-google-maps-pro/images/ensxozmi.php
wp-content/plugins/kwngtln/log.txt
wp-content/plugins/kwngtln/index.php
wp-content/plugins/bcmvqxk/log.txt
wp-content/plugins/bcmvqxk/index.php
wp-content/plugins/all-in-one-seo-pack/admin/onpscnpd.php
wp-content/plugins/bdriydc/login_wall.php
wp-content/plugins/wp-google-maps/base/cvvrpdoz.php
wp-content/plugins/gleptdf/login_wall.php
wp-content/uploads/fusion-styles/fusion-929.css
wp-content/uploads/revslider/yruqwgmn.php
tmp/index.php
Total Memory	25.69 MB
Verwendeter Arbeitsspeicher	10.33 MB
Unverarbeitete Details	
Unverarbeitete Details anzeigen

id               => 131389
module           => file_change
type             => warning
code             => changes-found::15,0,7
timestamp        => 2020-01-18 12:28:15
init_timestamp   => 2020-01-18 12:28:15
remote_ip        => 81.169.131.5
user_id          => [empty string]
url              => wp-cron
memory_current   => 15284360
memory_peak      => 22317256
data             => Array
    added         => Array
        wp-includes/theme-compat/bztxtnsx.php                       => Array
            d   => [integer] 1573985130
            h   => bf0a113429070f7cf98dab8c0eb4eb5f
            t   => a
            s   => [integer] 1
            p   => WordPress Core v5.3.2
        wp-includes/js/jcrop/aeuoimfy.php                           => Array
            d   => [integer] 1573985130
            h   => c6de303f4d19a43454d056b002ed00ec
            t   => a
            s   => [integer] 1
            p   => WordPress Core v5.3.2
        wp-content/themes/meinThemes/woocommerce/xhyxgfmo.php         => Array
            d   => [integer] 1573985130
            h   => 01d1de43aa4c6474d5fc41dbcc983dda
            t   => a
            s   => [integer] 1
            p   => Avada theme v5.4.2
        wp-content/plugins/wp-google-maps-pro/images/ensxozmi.php   => Array
            d   => [integer] 1573985130
            h   => 36ce6b6b28a6b35faa559644fc48783f
            t   => a
            s   => [integer] 1
            p   => WP Google Maps - Pro Add-on plugin v5.80
        wp-content/plugins/kwngtln/log.txt                          => Array
            d   => [integer] 1579314790
            h   => 34a575b4fe98c883391ac14e2a82a683
            t   => a
            s   => [integer] 1
            p   => CMSmap - WordPress Shell plugin v1.0
        wp-content/plugins/kwngtln/index.php                        => Array
            d   => [integer] 1579314790
            h   => 7916633ab9fd59aa6a23f09091f7fe23
            t   => a
            s   => [integer] 1
            p   => CMSmap - WordPress Shell plugin v1.0
        wp-content/plugins/bcmvqxk/log.txt                          => Array
            d   => [integer] 1579314902
            h   => 34a575b4fe98c883391ac14e2a82a683
            t   => a
            s   => [integer] 1
            p   => CMSmap - WordPress Shell plugin v1.0
        wp-content/plugins/bcmvqxk/index.php                        => Array
            d   => [integer] 1579314902
            h   => 7916633ab9fd59aa6a23f09091f7fe23
            t   => a
            s   => [integer] 1
            p   => CMSmap - WordPress Shell plugin v1.0
        wp-content/plugins/all-in-one-seo-pack/admin/onpscnpd.php   => Array
            d   => [integer] 1573985130
            h   => de14bf3a697749461344b4e6a4296c12
            t   => a
            s   => [integer] 1
            p   => All In One SEO Pack plugin v3.3.3
        wp-content/plugins/bdriydc/login_wall.php                   => Array
            d   => [integer] 1579314868
            h   => 229a4a39371b473707f18337bd8ac9d8
            t   => a
            s   => [integer] 1
            p   => Login Wall plugin v1.1.0
        wp-content/plugins/wp-google-maps/base/cvvrpdoz.php         => Array
            d   => [integer] 1573985130
            h   => a2f5666ece0fbe121995bfe7c89334a9
            t   => a
            s   => [integer] 1
            p   => WP Google Maps plugin v8.0.9
        wp-content/plugins/gleptdf/login_wall.php                   => Array
            d   => [integer] 1579314762
            h   => 229a4a39371b473707f18337bd8ac9d8
            t   => a
            s   => [integer] 1
            p   => Login Wall plugin v1.1.0
        wp-content/uploads/fusion-styles/fusion-929.css             => Array
            d   => [integer] 1579303613
            h   => 88db7b31162e071cec6107277962bc48
            t   => a
            s   => [integer] 1
            p   => Unbekannt
        wp-content/uploads/revslider/yruqwgmn.php                   => Array
            d   => [integer] 1573985130
            h   => e72d97960a74640323cbb9bbed41675f
            t   => a
            s   => [integer] 1
            p   => Unbekannt
        tmp/index.php                                               => Array
            d   => [integer] 1562552179
            h   => d508fb1108524fd1d0e231cc6c7282a6
            t   => a
            s   => [integer] 1
            p   => Unbekannt
    removed       => Array()
    changed       => Array
        wp-admin/includes/meta-boxes.php                                                      => Array
            d   => [integer] 1573726596
            h   => ba66b73f0d0dfe39790e2468d8c49d66
            t   => c
            s   => [integer] 1
            p   => WordPress Core v5.3.2
        wp-content/plugins/all-in-one-seo-pack/js/modules/index.php                           => Array
            d   => [integer] 1574101117
            h   => f731730c1718d25c0dae44fb34ce27e9
            t   => c
            s   => [integer] 1
            p   => All In One SEO Pack plugin v3.3.3
        wp-content/plugins/iwp-client/addons/file_editor/file_editor.class.php                => Array
            d   => [integer] 1568646298
            h   => ab6aaf9988389367465a0242c3d8147c
            t   => c
            s   => [integer] 1
            p   => InfiniteWP - Client plugin v1.9.4.1
        wp-content/plugins/iwp-client/lib/Google/Verifier/Pem.php                             => Array
            d   => [integer] 1568646299
            h   => d6297136769007fd57de4c8ee18af99e
            t   => c
            s   => [integer] 1
            p   => InfiniteWP - Client plugin v1.9.4.1
        wp-content/plugins/woocommerce/includes/admin/class-wc-admin-permalink-settings.php   => Array
            d   => [integer] 1573725429
            h   => 6b087a032497275feccc9885bcf5fc6a
            t   => c
            s   => [integer] 1
            p   => WooCommerce plugin v3.8.0
        wp-settings.php                                                                       => Array
            d   => [integer] 1567533164
            h   => 1ee862cb2eb5a687827bf8de78d695b1
            t   => c
            s   => [integer] 1
            p   => WordPress Core v5.3.2
        index.php                                                                             => Array
            d   => [integer] 1555628751
            h   => b2de831b9c8aaa3bba563f1e593127eb
            t   => c
            s   => [integer] 1
            p   => WordPress Core v5.3.2
    memory        => [double] 10.33
    memory_peak   => [double] 25.69', ENT_COMPAT);

Dieses Thema wurde geändert vor 4 Jahren, 3 Monaten von Angelika Reisiger.
Dieses Thema wurde geändert vor 4 Jahren, 3 Monaten von Bego Mario Garde. Grund: Codeformatierung korrigiert

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)

Sven Bolz
(@svenbolz)

vor 4 Jahren, 3 Monaten

Moin, du solltest auf jeden Fall etwas tun.

Die sonderbaren Dateinamen wie „bztxtnsx.php“ gehören da nicht hin und sind Malware. Kann gut sein, dass jetzt z.B. Besucher, die über ein Google-Suchergebnis auf der Seite landen, auf dubiose andere Seiten weitergeleitet werden. Ich kenne diese kryptischen Namen von diversen Webseiten, die ich als Auftragsarbeit bereinigen durfte.

Da du erwähnt hast, dass du viele Plugins benutzt: höchstwahrscheinlich hat eines davon eine Sicherheitslücke. Auf https://wpvulndb.com/ kannst du nachschauen, ob es bekannte Lücken in den Plugins gibt.

Moderator Bego Mario Garde
(@pixolin)

vor 4 Jahren, 3 Monaten

Meistens hilft schon ein Blick in solche Dateien, in der Malware-Code gerne verschlüsselt wird. Normale Plugin- und Theme-Dateien enthalten immer im Klartext lesbaren (und damit meist gut nachvollziehbaren) Code. Vorsicht bei der Behebung solcher Malware-Infektionen: zu leicht werden Backdoors (z.B. als jpg-Dateien getarnte Skripte im Uploads-Verzeichnis) übersehen. Die Arbeitsschritte zur Reparatur einer gehackten Website haben wir hier schon öfters besprochen. Unseren FAQ-Beitrag findest du hier, eine Anleitung zur Reparatur kannst du hier nachlesen.

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)

Das Thema „WordPress Maleware“ ist für neue Antworten geschlossen.

Ansichten