peterha
Goto Top

Opfer von Clickjacking auf Wordpress - wie bereinigen?

Hallo Gemeinde,

ein Mandant von mir hat sich auf seinem ungepatchten Wordpress einen Clickjacker eingefangen. (Neuer Mandant ;)

Ich weiß wie ich Malware vom PC loswerde, aber nicht wie die Vorgehensweise auf einem Wordpressinstall ist.

Kann mir jemand erläutern bitte, wie das geht? Aktuell sperrt Avast die Seite mit dem Hinweis auf Clickjacker.

Gibt's bestimmte Hinweise im Code, die ich per Suche finden kann? Oder gar scanner die sowas finden?

Danke für jeden Hinweis.
Peter

PS: Mandant hat kein Backup, sonst würde ich natürlich das nutzen.

Content-Key: 221810

Url: https://administrator.de/contentid/221810

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: DockMaster-de
DockMaster-de 13.11.2013 um 01:54:26 Uhr
Goto Top
Hallo,

wenn kein Backup vorhanden ist (dazu mal keinen Kommentar) WP neu aufsetzen.
Verzeichnis löschen und die aktuelle Version installieren. Danach die Zusatzmodule installieren.
Die Datenbank sollte nicht infiziert sein (habe das 3 mal überprüft).
Installation starten, Datenbankparameter eingeben.

Aufwand ca. 0,5 MT

Dann ein Backup-Script erstellen, wo das www-Verzeichnis und die Datenbank gesichert werden.

Wenn nicht Linux Sicher dann installier dir Webmin. Damit kannst du Windows-Like Backups erstellen.

have a nice da...

DockM@ster
Mitglied: peterha
peterha 13.11.2013 um 12:04:02 Uhr
Goto Top
Danke Dockmaster,

ich halte die Variante: Neumachen-nach-Infektion auch für die Richtige. Der Kunde wünschte jedoch Bereinigung.

Ich habe den Source Code angesehen und ein JavaScript gefunden und eine class. "dnn"

und dann waren da ein paar Sätze wie "Get online loan" usw. + Links

Ingsgesamt ne halbe Seite Code rausgelöscht.

Danke für die Unterstützung.
Peter

PS: Mandant hatte doch backup auf webserver, das allerdings infiziert war. Besser ist: backup vom Server ziehen ;)
Mitglied: server-coach
server-coach 13.11.2013 um 12:51:24 Uhr
Goto Top
Hi,

mit Code rauslöschen ist es nicht getan, da auch die Plugins und insbesondere die js Dateien infiziert sein können. Besser neu aufsetzen und die Plugindateien neu runterladen. Alles andere wäre nur leichtsinnig. Hier noch ein Link um die Wordpress Installation etwas besser abzusichern
https://www.wordfence.com/

Sollte ein Root oder V-Serer zum Einsatz kommen, in den nächsten Tagen die Logs checken um Spam oder ähnliches zu vermeiden.

LG