Premium Wordpress Theme AVADA gehackt und mit Malware verseucht

Heute hatte ich wieder einen Fall, bei dem eine Wordpress-Seite eines Kunden gehackt wurde. Der Hoster hat eine Liste mit Dateien geschickt, die Schadcode enthalten. Auffällig dabei: Alle bösen Files liegen im Verzeichnis des [Wordpress Theme->wordpress-themes] “Avada”:

• /wp-content/themes/Avada/framework/plugins/LayerSlider/layerslider.php
• /wp-content/themes/Avada/wp-conf.php
• /wp-content/themes/Avada/atom-conf.php
• /wp-content/themes/Avada/.cached
• /wp-content/themes/Avada/bruteforceng.so

Besonders die Datei “bruteforceng.so” macht mir Sorgen, denn dabei handelt es sich um eine Unix Library, die offensichtlich das Ziel hat irgendetwas per [Bruteforce-Attacke->bruteforce] zu hacken. Es kann sein, dass damit auch andere Server attackiert werden sollen, aber genaueres konnte ich der Datei nicht entnehmen.

Ein Blick in die styles.css im Avada-Verzeichnis verrät mir, dass es sich um die Version 3.1.1 des Wordpress Themes handelt. Wir werden jetzt nochmal die aktuelle Theme-Version einspielen, aber ich denke, dass die Version 3.1.1 irgendwo eine Sicherheitslücke hat, denn es ist schon bemerkenswert, dass sich die Malware auf das Avada-Verzeichnis konzentriert.

Ich gebe hier aber gerne die Entwicklung in diesem Fall weiter. Aktuell warten wir auf die Re-Aktivierung des Hostings durch Host-Europe. Dort werden Domains mit Schadcode sofort gesperrt und man muss erst die Malware entfernen und dem Support schreiben, bevor das Hosting wieder aktiviert wird.

Jens Kleinholz( Gründer & Sir Apfelot )

Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.