Wordpress evtl. gehackt?

  • Hallo :)


    Ich habe mal wieder ein Problem *seufz*. Mein Avast sagt, auf der Wordpress-Webseite meines Kunden sei ein Virus versteckt:


    21.11.2016 06:55:01 http://hel***.de/|>{gzip} [L] JS:Includer-BOF [Trj] (0)


    Wer selbst gucken möchte (auf eigene Gefahr): die 3 Sternchen stehen für "kel".




    Ich habe mir daraufhin alle Dateien im Webspace angeguckt. Die einzige Änderung, die ich sehe (und die mir Wordpress auch per Mail mitgeteilt hat): Wordpress wurde letzte Nacht aktualisiert. Mir fällt da nichts Merkwürdiges auf. Ich hab auch keine Ahnung, ob das überhaupt einen Zusammenhang hat - jedenfalls habe ich als Änderungsdaten der Dateien nur das, was ich selbst gemacht habe (alles vom März), und eben Änderungsdatum des Updates (heute). Alle Root-Dateien habe ich genau überprüft (meistens gehen die ja direkt in die index.php oder sowas), alle anderen Dateien mit unauffälligem Änderungsdatum erstmal nicht, sind ja doch sehr viele .. da bräuchte ich wohl passende Suchbegriffe ..


    Ich hab auch direkt mal meinen Hoster gefragt - Antwort: "Leider konnte ich per Sichtprüfung nichts näheres herausfinden. Hierzu sollte sich das System einmal ein Worpdress- Profi anschauen."


    Ähm. Ja. Hat einer ne Idee? Vielleicht auch etwas Spezielles, wonach ich suchen soll, das ich vielleicht übersehen habe? Könnten die das auch direkt in der Datenbank untergebracht haben? .. da wär ich dann nämlich auch überfragt, wie ich das rausfinde ..


    Irgendwo hab ich noch ein altes Backup liegen .. ich weiß aber nicht, ob ich das nach dem automatischen Update einfach drüberbügeln kann .. ich würde eigentlich lieber nur die "infizierten" Sachen direkt bearbeiten / löschen / ersetzen ..


    Kann jemand helfen?


    Liebe Grüße
    Mieze

  • ESETNod32 bringt auch Meldung und blockert das weitere laden.


    JS/TrojanDownloader.FakejQuery.B Trojaner

  • Danke fürs Nachschauen :) .. ja, ich denke schon, daß da wirklich was ist. Ich finde es nur nicht *seufz*. Ich hab alle js-Sachen geprüft, da gibt es nichts mit aktuellem Änderungsdatum - wenn das irrelevant ist und auch vom "Hacker" geändert werden kann .. hm ..

  • Kann auch "false positiv" sein, gab es schon öfter. Einfach die nächsten Tage erneut testen. Evtl. müssen nur Virensignaturen aktualisiert werden.