So funktioniert JustAnswer:

  • Fragen Sie einen Experten
    Tausende Experten in über 200 Kategorien.
  • Erhalten Sie eine professionelle Antwort
    Per E-Mail oder sofortiger Benachrichtigung, während Sie auf unserer Website warten.
    Stellen Sie ggf. weitere Anschlussfragen.
  • 100%ige Zufriedenheit garantiert
    Bewerten Sie die erhaltene Antwort.

Stellen Sie Ihre Frage an BigDaddyXD.

BigDaddyXD
BigDaddyXD, Informatiker
Kategorie: Computer
Zufriedene Kunden: 1629
Erfahrung:  Microsoft Certified Professional, Microsoft Certified Desktop Support Technican,...
65503138
Geben Sie Ihre Frage in der Kategorie Computer hier ein
BigDaddyXD ist jetzt online.

Worpressseite durch altes Plugin mit Schadcode verseucht. Provider

Kundenfrage

Worpressseite durch altes Plugin mit Schadcode verseucht. Provider hat Backup wiederhergestellt. Wie entferne ich die schadstellen der seite und mache sie funktionsfähig?
Gepostet: vor 3 Jahren.
Kategorie: Computer
Experte:  IT-Fachinformatiker hat geantwortet vor 3 Jahren.
Hallo,

wenn das so ist, wie Sie sagen müssen Sie folgendes tun:

1. Sicherstellen das das Backup an sich nicht verseucht ist
2. Alle Dateien d.h. wirklich alle Dateien auf fremden Code hin untersuchen

In einigen Fällen muss WordPress neu installiert werden. Sie dürfen niemals unter gar keinen Umständen veraltete Versionen benutzen. Das gilt für WordPress und auch dessen Plugins. Wie genau hat sich das Problem heraus kristalisiert d.h. was ist passiert und haben Sie mal die index.php geprüft? Oft ist genau dort eine Zeile, die den Schadcode verbreitet.

Gruß Günter
Kunde: hat geantwortet vor 3 Jahren.

Ich kann nicht auf Wordpress zugreifen, nur auf die Ftp-Dateien!


 


Ich weiß nicht, wie ich die Datein prüfen soll - und ich hatte keine alte Version von WP benutzt.


 


der schadcode stammt aus einem Plugin, das ich aber nicht deinstallieren kann, weil ich ja nicht auf wp zugreifen kann.


 


wie kann ich denn von dem aktuellen stand (also dem backup, das ich jetzt auf meinem ftp leigen habe, ein backup machen?!)


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Guten Tag,

wenn Sie nur FTP-Zugriff haben können Sie das Plugin trotzdem deaktivieren.
Öffnen Sie dazu die FTP-Verbindung und darin dann das Plugin-Verzeichnis.
Löschen oder umbenennen Sie dann das betreffende Plugin und prüfen Sie
dann ob Sie WordPress wieder verwenden können.

Sollte das Backup in ein anderes Verzeichnis wiederhergestellt worden sein (also nicht in dem Pfad auf dem die Webpräsenz tatsächlich liegt),
kopieren Sie die im Backup enthaltenen Daten in das tatsächliche
Onlineverzeichnis (alte Dateien überschreiben).

Gruß,
Marcel Lehmann
Kunde: hat geantwortet vor 3 Jahren.

Wenn ich die Plugins im Ordner lösche, wie kann ich dann feststellen, ob noch etwas anderes infiziert ist?

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
WordPress Plugins haben keine Berechtigung zur Sourcecodeänderungen an
anderen Bestandteilen. Daher brauchen Sie sich wegen einer großflächigen
Infektion erst einmal keine Sorgen zu machen.

Ich würde Ihnen aber empfehlen den WordPress AntiVirus zu installieren,
der zur Sicherheit noch einmal alles prüfen kann, aber auch in Zukunft
ein Auge auf ihre WordPress Installation hat:

http://wpantivirus.de/

Gruß XXXXX XXXXX Erfolg,
Marcel Lehmann
Kunde: hat geantwortet vor 3 Jahren.

Hallo,


aber laut meinem Provider wurde sehr viele schadhafte Scripte abgelegt. In dem bereits im Ftp vorhandenen Backup sind auch Stellen, die bereits infiziert wurden - wie kann ich die löschen?

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Wenn das so ist würde ich Ihnen dringend empfehlen die Seite erst einmal
wieder funktionstüchtig zu bekommen, und diese dann mit dem angeführten
AntiVirus zu untersuchen und zu bereinigen. "Von Hand" wird es nicht
möglich sein jede Stelle im Code sofort entsprechend zu identifizieren,
und dann auch so zu bereinigen dass danach trotzdem die Seite noch/wieder läuft.

Gruß,
Marcel Lehmann
Kunde: hat geantwortet vor 3 Jahren.

Ok. das heißt, um ein erneutes backup von meinen dateien zu machen, kann ich einfach den entsprechenen order aus dem ftp-programm downloaden - aber vorher entferne ich einfach alle verdächtigen plugin-ordner aus dem entsprechenden verzeichnis? die kann ich einfach so löschen?

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Ja, die können Sie einfach so löschen. Sobald die Seite dann wieder
funktioniert müssen sie auf der Administrationsseite dann ggf. noch die
Plugineinträge der gelöschten Plugins entfernen.

Durch das manuelle löschen der dazugehörigen Verzeichnisse und Dateien
wird deren Funktion aber schonmal verhindert, sodass die Seite überhaupt
in einen funktionierenden Zustand gebracht werden kann.

Gruß,
Marcel Lehmann
Kunde: hat geantwortet vor 3 Jahren.

Hallo,



der PRovider hat einen infiziert-txt erstellt, hier sind auch im backup drei stellen, die schadhaft zu sein scheinen. wie kann ich diese stellen entfernen?


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Das kommt darauf an. Handelt es sich um infektive Dateien (also Dateien
die keinen sinnvollen Zweck haben und nur schadhaft sind) oder um
infizierte Dateien (also eigentlich erforderliche Dateien in welche
Schadcode eingeschleust wurde)?

Sind es infektive Dateien können diese einfach gelöscht werden.
Sind es aber infizierte Dateien müssten diese geöffnet und manuell
auf die Infektionen geprüft werden, die danach dann auch manuell
aus den Dateien entfernt werden müssen, oder man ersetzt diese Dateien
dann durch nicht-infizierte Originaldateien.
Kunde: hat geantwortet vor 3 Jahren.

es ist dreimal fast das selbe:


 


..../wp-content/index.php
#######################################
Modify -> 23.04.2013 15:14:35 +0200
Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped...)
2 -> // Silence is golden. -> // Silence is golden.


 


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.

Okay, "Silence is golden" ist ein bekannter hack. Suchen Sie im Quelltext der betroffenen seiten nach solchen Einträgen:

 

eval(base64_decode...

Und entfernen Sie die betroffenen Zeilen komplett. Dadurch kann die Datei bereinigt und die Funktion wiederhergestellt werden.

Gruß,

Marcel Lehmann

Kunde: hat geantwortet vor 3 Jahren.

der provider hat wohl schon gesucht - und ich kann ja derzeit auf den quelltext nicht zugreifen (weil die seite offline ist). wie kann ich das über den ftp zugang machen?


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Dazu müssen Sie nur die betroffene Datei herunterladen und dann
auf ihrem System mit einem HTML oder Texteditor öffnen.
(z.B. Phase5 -> http://www.chip.de/downloads/HTML-Editor-Phase_12999519.html)

DAmit bearbeiten Sie die Datei dann entsprechend und laden diese dann wieder hoch.
Kunde: hat geantwortet vor 3 Jahren.

ist es wahrscheinlich, dass mein provider auch alle entsprechenden stellen gefunden hat?


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Wahrscheinlich schon, ich würde die Dateien aber trotzdem nochmal auf zusätzliche Stellen mit diesem Code durchsuchen.

Gruß,
Marcel Lehmann
Kunde: hat geantwortet vor 3 Jahren.

ich habe keine erfahrung mit der änderung von code. muss ich da einfach diesen satz löschen? oder wie gehe ich da vor?


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Okay, in dieser Datei werden Sie dann Codezeilen finden die ewa so aussehen:



Löschen Sie dort einfach alles zwischen dem ganz am Ende nach Silence is golden vorkommt.

Die Zeile würde dann etwa so aussehen:



Gruß,
Marcel Lehmann
Kunde: hat geantwortet vor 3 Jahren.

leider kann ich nach dem doppelpunkt nichts sehen... (also, ihre beispiele sind nicht sichtbar).

Kunde: hat geantwortet vor 3 Jahren.

Hallo? ICh kann die Beispiele nicht sehen....

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Ah, ist das ärgerlich... Die Seite hat es wohl geschluckt...

Ich hänge die Beispiele dann einmal als Bild an:
Kunde: hat geantwortet vor 3 Jahren.

ich sehe auch kein bild als anhang.

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.

Bitte Antworten sie nicht auf diesen Beitrag. Ich muss das Bild über das Bearbeiten eines Beitrages von mir einfügen, und wenn zwischenzeitlich eine neue Antwort von Ihnen da ist kann ich nichtmehr bearbeiten (Defekt an der Seite...). Hier erscheint dann gleich das Bild:

 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Nun solle das Bild angezeigt werden.
ggf. müssen Sie es anklicken um es zu vergrößern.
Kunde: hat geantwortet vor 3 Jahren.

ja, es wird angezeigt. aber wenn ich die betreffenden dateien in den text-editor ziehe, finde ich die betreffende zeile nicht (es sind immer index-dateien, die man nicht bearbeiten kann.)


 


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
In der von Ihnen vorher genannten Datei handelt es sich ja um die
index.php. Also um die Huptseite der Webpräsenz auf der alles "zusammengebaut" wird.

Solche Dateien lassen sich immer im Text-Editor bearbeiten, was genau
funktioniert da bei Ihnen nicht?
Kunde: hat geantwortet vor 3 Jahren.

wenn ich die betreffende datei im editor öffne, erscheint dies. und da kann ich die "silence"-zeile nicht sehen.

 

 

https://www.dropbox.com/s/mpe3keiw7nbp2s4/Bildschirmfoto%202013-05-02%20um%2013.58.25.png

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Leider kann ich von hier nicht auf Dropbox zugreifen. Können Sie das
Bild direkt auf JustAnswer hochladen (über das Klammernsymbol)?
Kunde: hat geantwortet vor 3 Jahren.

hm, hab ich schon versucht, ich erhalte dann immer eine weiße seite mit fehlermeldung:


Access Denied

You don't have permission to access "http://www.justanswer.de/rechner/7qjtg-worpressseite-durch-altes-plugin-mit-schadcode-verseucht-provider.html" on this server.


Reference #18.14923554.1367496446.5cceb18f

Kunde: hat geantwortet vor 3 Jahren.

/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/

/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define('WP_USE_THEMES', true);

/** Loads the WordPress Environment and Template */
require('./wp-blog-header.php');

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Ich vermute hier fehlt auch ein Großteil des Inhaltes, oder? :)
Kunde: hat geantwortet vor 3 Jahren.

nein, das ist alles was im text editor zu sehen ist, wenn ich die datei mit dem programm öffne.


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Okay, dann ist in der Datei aber auf jeden Fall keine Infektion mehr vorhanden.
Kunde: hat geantwortet vor 3 Jahren.

in einer datei ist dies zu finden:


<?php
// Silence is golden.
?>


 


wie genau schreibe ich das um?


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Sie können davon alles rauslöschen was Sie hier eben durchgegeben haben :)

Gibt es davor keine Zeile mit "eval(base64_decode"?
Kunde: hat geantwortet vor 3 Jahren.

nein, da steht gar nichts mehr.

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Okay, dann war dieser Teil des Codes aber auch schon nichtmehr schädlich.
Der Schaden ensteht nicht durch den teil mit "Silence is golden", sondern durch den mit eval(base64_decode.
Das andere ist nur eine Art "Signatur"...
Kunde: hat geantwortet vor 3 Jahren.

ich bin mir nicht sicher, wie vertrauenswürdig die suche des providers ist - da ich jetzt eine weitere indexdatei gefunden habe. wie kann ich denn die ganzen dateien einzeln durchsuchen?

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Sie liegen ja als einzelne Dateien vor. Diese müssen Sie daher Datei für
Datei in dem Editor öffnen und durchsuchen...

Das ist sehr auswändig, aber die einzige Möglichkeit sicherzustellen
dass nirgends mehr solcher Schadcode enthalten ist.

Für die Zukunft ist es dann nichtmehr so einfach ihrer Seite so einen
Schaden zuzufügen, wenn Sie das Antivirus Plugin nutzen.

Gruß,
Marcel Lehmann
Kunde: hat geantwortet vor 3 Jahren.

gibt es denn da keine andere möglichkeit oder ein programm?


 

Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Doch, wie gesagt kann das Antivirus-Plugin solche Dinge finden und auch
bereinigen, nur hilft uns das leider erst weiter wenn ihre Seite sich
wieder bedienen lässt und sie dieses Plugin installieren und nutzen können.

Gruß,
Marcel Lehmann
Experte:  BigDaddyXD hat geantwortet vor 3 Jahren.
Guten Tag,

Haben Sie noch eine Rückfrage? Dann dürfen Sie diese jeder Zeit stellen
und ich werde mich gern weiter um Ihr Problem kümmern.

Wenn ich alle Ihre Fragen zufriedenstellend beantworten konnte wäre ich
für eine positive Bewertung sehr dankbar, da ich auch nur dann eine
Vergütung für meine Arbeit erhalte

Vielen Dank für Ihre Fairness!

Bekannt aus:

 
 
 
„[...]mehr als Zehntausend Experten weltweit; 1500 davon in Deutschland. Acht Jahre nach dem Start ist das [...] Online-Unternehmen mit seinen 90 Mitarbeitern die größte Web-Seite für das Vermitteln von Experten von Anwälten über Ärzte bis hin zu Universitätsprofessoren.“
„Wer eine fachmänische Lösung für ein medizinisches, rechtliches oder technisches Problem sucht, kann das jetzt auch im Internet tun. Lebenshilfe auf die schnelle, unkomplizierte und vor allem erschwingliche Art bietet die Seite www.justanswer.de. Etwa 1500 Experten stehen per Mail für Fragen zu ca. 200 Fachgebieten rund um die Uhr zur Verfügung."
„Rat gewünscht? Rechtliche, medizinische oder allgemeine Fragen beantworten Experten unter www.justanswer.de."
„JustAnswer, die weltweit führende Online-Plattform für Expertenfragen und -antworten, bietet ab sofort noch mehr Sicherheit und Qualität für Verbraucher."
„Ob Vorbereitung, Notfall oder Reklamation nach dem Urlaub - JustAnswer bietet jederzeit schnelle, kompetente Antworten"
„Die Online-Plattform JustAnswer bringt Ratsuchende und Experten in über 200 Fachgebieten zusammen."
 
 
 

Was unsere Besucher über uns sagen:

 
 
 
  • Ich bedauere, dass ich nicht gleich bei Ihnen gelandet bin. Die Leerung des Cache hat das Problem gelöst. Danke Gerd Schönbuchner Grafrath
< Zurück | Weiter >
  • Ich bedauere, dass ich nicht gleich bei Ihnen gelandet bin. Die Leerung des Cache hat das Problem gelöst. Danke Gerd Schönbuchner Grafrath
  • Endlich ein Experte, der mir wirklich weiterhelfen konnte! DANKE! JustAnswer Kunde Taunusstein
  • Ihre Antwort hat mir sehr geholfen, die richtigen Entscheidungen zu treffen. Dass Sie mir darüber hinaus noch 2 Empfehlungen gegeben haben fand ich super. Vielen Dank! JustAnswer Kunde Freiburg
  • Die ausgearbeiteten Hilfen waren gut strukturiert, leicht verständlich und zu 100% hilfreich für mich. Vielen Dank Markus B. Karlsruhe
  • Sehr schnelle und kompetente Antwort, die für mich bares Geld bedeutet. Vielen Dank! S.Stober K.
  • Herzlichen Dank! Hab durch Ihre Antwort viel Geld gespart! Ben R. Deutschland
  • Sehr schnelle und kompetente Hilfestellung. Besonders für mich als Laien wurde alles sehr verständlich erklärt. Gerne wieder! Rosengl Bad Tölz
 
 
 

Lernen Sie unsere Experten kennen:

 
 
 
  • Tronic

    Tronic

    IT-Specialist

    Zufriedene Kunden:

    2269
    Elektroniker und EDV-Service
< Zurück | Weiter >
  • http://ww2.justanswer.com/uploads/PY/Pyroflash/2011-4-21_104934_tronic.64x64.jpg Avatar von Tronic

    Tronic

    IT-Specialist

    Zufriedene Kunden:

    2269
    Elektroniker und EDV-Service
  • http://ww2.justanswer.com/uploads/rufushoschi/2010-11-08_135947_bild.jpg Avatar von IT-Fachinformatiker

    IT-Fachinformatiker

    Systemadministrator

    Zufriedene Kunden:

    6338
    Software Entwicklung, Projekt Erfahrung, Windows-Netzwerke, Linux-Netzwerke, Windows/Linux-Server
  • http://ww2.justanswer.com/uploads/COMINAROSA/2010-02-03_172238_PASSBILD.JPG Avatar von COMIN IT-Service

    COMIN IT-Service

    Dipl.-Ing.

    Zufriedene Kunden:

    779
    Dipl.Ing (FH) ET, NT, IT
  • http://ww2.justanswer.com/uploads/RaubergerConcep/2010-03-02_102740_Portraet64.jpg Avatar von RaubergerConcept

    RaubergerConcept

    IT-Specialist

    Zufriedene Kunden:

    234
    Mehr als 10 Jahre Erfahrung in Softwareentwicklung und Netzwerktechnik
  • http://ww2.justanswer.com/uploads/LF/lfalkenburg/2015-2-8_01843_.64x64.jpg Avatar von Lutz Falkenburg

    Lutz Falkenburg

    IT-Specialist

    Zufriedene Kunden:

    96
    Seit über 20 Jahren beruflich im IT-/IUK-Bereich tätig. Egal ob EinzelPC der Netzwerk...
  • http://ww2.justanswer.com/uploads/BI/BigDaddyXD/2012-10-24_20126_WhySoSeriousJob.64x64.jpg Avatar von BigDaddyXD

    BigDaddyXD

    Informatiker

    Zufriedene Kunden:

    1588
    Microsoft Certified Professional, Microsoft Certified Desktop Support Technican,...
  • http://ww2.justanswer.com/uploads/PU/Pucky80/2011-5-14_54537_pucky80.64x64.jpg Avatar von Pucky80

    Pucky80

    IT-Systemkaufmann

    Zufriedene Kunden:

    1322
    MCITP (Microsoft Server 2008 Enterprise Administrator)
 
 
 

Ähnliche Fragen in der Kategorie Computer