Support » Allgemeine Fragen » WordPressbasierte Website von Virus befallen

  • Gelöst moon7deaf

    (@moon7deaf)


    Leider ist die obige Website auf dem Server von Ionos vom Virus befallen. Auch alle Backups, die von Ionos erstellt wurden, enthalten das Virus. Auf meinem Rechner habe ich keine Backups erstellt, weil ich davon ausgegangen bin, dass die Backups auf Ionos kein Virus enthalten. Ich wusste nicht, dass die Backups schon nach sechs Tagen gelöscht werden. Ich habe den Vertrag nicht genau gelesen.

    Wie kann ich viele Webseiten retten? In welchem Ordner von WordPress sind diese Seiten gespeichert?

    Hinweis von Moderator:
    Link zur Website entfernt, da die Website Schadcode enthält

    • Dieses Thema wurde geändert vor 2 Jahren, 6 Monaten von Angelika Reisiger. Grund: Website-Link entfernt
Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 17)
  • Ich habe den Vertrag nicht genau gelesen.

    Das sollte man aber. Dass Ionos keine Backups für die Ewigkeit hält ist eigentlich auch klar.

    Die Seiten sind nicht in einem Ordner gespeichert, sondern die Daten stehen komplett in der Datenbank.

    Siehe Seite gehacked, was tun

    • Diese Antwort wurde geändert vor 2 Jahren, 6 Monaten von bscu.

    Ganz kurz und allgemein gehalten: Wenn eine Website gehackt wurde und kein Backup vorliegt, muss

    1. eine Bestandsaufnahme gemacht werden (alle bisher installierten Themes und Plugins notieren, Übersicht verschaffen ob Inhalte gelöscht wurden),
    2. die Website außer Betrieb genommen werden (hier reicht es, eine index.html mit Inhalt <html><body><h1>Wir sind bald wieder für Sie da.</h1></body></html> im Web-Stammverzeichnis zu speichern und die index.php zu löschen),
    3. alle Zugangsdaten (WordPress-User, FTP, MySQL, Kundenmenü des Webhosters) ausgetauscht werden,
    4. die Konfigurationsdatei wp-config.php sowie das Verzeichnis wp-content/uploads auf dem eigenen Computer gesichert werden,
    5. danach alle Dateien im Web-Stammverzeichnis gelöscht werden, damit auch Backdoor-Skripte entfernt werden. Es reicht nicht, die Dateien per FTP zu überschreiben.
    6. In der MySQL-Datenbank sollte die Datenbank-Tabelle wp_users auf auffällige Einträge (unbekannte Benutzer) geprüft und ggf. bereinigt werden.
    7. Die Datei wp-config.php sorgfältig auf verdächtige Einträge prüfen. Es ist erwünscht, dass die so genannten SALT-Keys zufallsgenerierte Zeichenketten enthalten. Die Konfigurationsdatei in das Web-Stammverzeichnis hochladen.
    8. Nun von https://de.wordpress.org/download/ WordPress neu herunterladen, entpacken, Dateien aus dem Verzeichnis wordpress in das vollständig geleerte Web-Stammverzeichnis hochladen und im Backend mit den in Schritt 3 geänderten Benutzerdaten anmelden.
    9. WordPress wird darauf hinweisen, dass die Plugins deaktiviert wurden, weil sie nicht mehr gefunden werden. Die im Schritt 1 notierten Themes und Plugins erneut installieren.
    10. Das gesicherte Verzeichnis wp-content/uploads sollte nur Mediendateien enthalten. Dabei muss aber geprüft werden, ob jede Datei tatsächlich eine Mediendatei ist. Stattdessen kann sich hinter einem Dateinamen auch ein Malware-Skript verstecken. Erst nach einer sehr sorgfältigen jeder einzelnen Datei kann das Verzeichnis wieder hochgeladen werden.
    11. Nun wird geprüft, ob die Inhalte der Website dem ursprünglichen Stand entsprechen. Es kommt eher selten vor, aber Angreifer können auch in der Datenbank Inhalte manipuliert haben. Gelöschte Inhalte lassen sich manchmal nur wiederherstellen, wenn in Internet-Archiven (Wayback-Machine, Google Cache) Kopien vorliegen.

    Der ganze Vorgang ist sehr aufwändig und kann sich über mehrere Stunden hinziehen. Mit einem vorhandenen, geprüften Backup ist die Wiederherstellung (außer bei umfangreichen Mediensammlungen) in wenigen Minuten erledigt.

    Backups sind wichtig.

    Thread-Starter moon7deaf

    (@moon7deaf)

    Vielen Dank für Ihre Antwort. Ich habe Index.html gespeichert. Es klappt gut. Nun 3. Punkt: Wie kann ich alle Zugangsdaten (WordPress-User, FTP, MySQL, Kundenmenü des Webhosters) austauschen?

    Thread-Starter moon7deaf

    (@moon7deaf)

    Hallo Bego Mario Garde,

    vielen Dank für die Anleitung. Die Schritte 1 bis 5 habe ich durchgeführt.
    Schritt 6: Die Datenbanktabelle wp_users enthält einen einzigen Satz mit meinem Benutzernamen.
    Schritt 7: Ich habe die Datei wp-config.php geprüft und kann nichts Verdächtiges finden.
    Schritt 8: Ich habe WordPress neu installiert und nur wp-config.php dorthin übertragen.
    Dann habe ich mich angemeldet. Wieder Virusanfall.
    Das heißt, das Virus steckt entweder in config.php oder in der Datenbank. Was soll ich tun?

    Wenn in der wp-config.php nichts Verdächtiges zu finden ist und du vor der Neuinstallation von WordPress alle Dateien im Web-Stammverzeichnis gelöscht hast, dann bleibt ja nur die Datenbank. Allerdings hast du dann schlechte Karten, denn darin den Schädling zu finden, dürfte nicht gerade leicht sein und nur für erfahrene Leute machbar sein.

    Dann habe ich mich angemeldet. Wieder Virusanfall.

    Wie macht sich das denn bemerkbar? Du hast das jetzt mit mit einem Windows-Virenscanner geprüft?

    Hast du außer WordPress noch andere Webanwendungen in deinem Webspace?

    Thread-Starter moon7deaf

    (@moon7deaf)

    Nach der Anmeldung erscheint eine weiße leere Seite, und mein Virenscanner hat sofort einen Angriffsversuch abgewehrt.

    Meldung des Virenscanners: Ein Eindringversuch wurde blockiert.
    Angreifer-URL: Ich kann hier die URL nicht eingeben.

    Ja, mehrere Webanwendungen in anderen Ordnern auf dem Server. Sie funktionieren virenfrei. Auch noch eine virenfreie wordpressbasierte Anwendung.

    • Diese Antwort wurde geändert vor 2 Jahren, 5 Monaten von moon7deaf.
    • Diese Antwort wurde geändert vor 2 Jahren, 5 Monaten von moon7deaf.

    Eine leere Seite kann auch einfach aus einem Programmierfehler stammen – der Error-Log des Servers sollte Hinweis zur Ursache geben. Ich weiß nicht, welchen Virenscanner du da verwendest, kann aber die Meldung auch nicht einordnen.

    Es mag sein, dass die anderen Webanwendungen problemlos arbeiten, aber sie können trotzdem eine Backdoor* enthalten.

    (*Angreifer hinterlassen gerne Schadcode, um sich bei einer einmal gehackten Website für späteren Zugriff ein Hintertürchen, englisch Backdoor genannt, freizuhalten, durch das sie jederzeit wieder auf den Server zugreifen können. Natürlich verrät dir niemand, wo sich diese Hintertür befindet – es kann auch eine Bild-Datei (jpg, gif, …) sein, die in Wirklickkeit ein ausführbares Skript enthält.)

    Thread-Starter moon7deaf

    (@moon7deaf)

    Ich habe Norton Security Online von Telekom.

    Da kann ich nichts zu sagen – ich analysiere Webseiten nicht mit einem PC-Virenscanner.

    Thread-Starter moon7deaf

    (@moon7deaf)

    IONOS weigert sich, den Schadcode zu entfernen. Ich sollte einen externen Dienstleister damit beauftragen. Ich habe keine Ahnung, welcher Dienstleister in Frage kommt. Könntet Ihr mir einen Tipp geben?

    Hallo,
    frag mal bitte z. B. bei dieser Firma nach.
    Viele Grüße
    Hans-Gerd

    Thread-Starter moon7deaf

    (@moon7deaf)

    Ich möchte euch nur informieren, dass ich in der MySQL-Datenbank einen Schadcode entdeckt und beseitigt habe. Der Schadcode steckt im Feld siteurl der Tabelle wp_options. Nun funktioniert die Webanwendung wieder. Vielen Dank für Ihre Bemühungen. Ich wünsche Ihnen ein frohes und gesundes Neujahr 2022!

    Schön, dass jetzt alles wieder läuft.

    (Danke auch für die Neujahrsgrüße, auch wenn wir hier sonst ganz unkompliziert als Anrede „du“ verwenden. Also: dir auch ein frohes und sorgenfreies neues Jahr!)

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 17)
  • Das Thema „WordPressbasierte Website von Virus befallen“ ist für neue Antworten geschlossen.