Malware im WordPress halbautomatisch per Hand entfernen

Anleitung: Akkutausch beim Ion Audio Blockrocker

Icon AnleitungenHeute habe ich mal wieder aus aktuellem Anlaß eine kleine Do-it-yourself-Anleitung. Der Grund dafür ist, dass heute Nacht irgendein lustiger Hacker ein Blog von mir mit Malware gefüllt hat. Vermutlich kam er über eine veraltete Version von timthumb rein, die in einem Theme lief. Betroffen waren einige WordPress Core Dateien, einige Plugins und etliche PHP-Dateien von dem WordPress-Theme, das bei dem Blog lief.

Der Malware-Code war relativ leicht zu erkennen, da er in den Dateien immer mit eval(base64_decode(“laberrababerkrimskramswurstzipfel”)); eingebaut war. Meistens sogar mehrmals pro Datei, da er sich immer direkt hinter “<?php” eingefügt hat.

Nun ist es aber realtiv unspaßig, diese ganzen Dateien (weit über hundert bei mir!) per Hand zu bereinigen, dann man muss jede öffnen, den Quellcode durchsuchen, die entsprechenden Stellen entfernen, Datei abspeichern und wieder per FTP hochladen. Ich habe mir aus dem Grund eine halbautomatische Vorgehensweise ausgedacht: Als erstes habe ich alle betroffenen Dateien im FTP-Programm (bei mir Transmit von Panic) geöffnet. Diese sind dann im Dreamweaver aufgepoppt und waren im Quellcode sichtbar. Nachdem alle offen waren, habe ich die Funktion “Suchen und Ersetzen” bei Dreamweaver geöffnet, und Suchen im Quellcode gewählt. Als Suchphrase habe ich dies hier eingetragen:

eval\(base64_decode\(\"(.*)\"\)\);

Oben in der Auswahlbox klickt man dann noch “Suchen in geöffneten Dokumenten” an und weiter unten klickt man “Regulären Ausdruck verwenden”. Und dann gehts los mit “Alles ersetzen”. Damit sucht Dreamweaver alle Dokumente mit dem regex-Ausdruck oben ab und ersetzt alle Schadecode-Stellen durch nix. Man kann dem Programm schön beim Werkeln zusehen und bekommt dann eine Vorahnung, wie lange man selbst dran gesessen hätte, um das alles zu säubern!

manuelle Malware Entfernung

Screenshot in Dreamweaver: Mit diesen Einstellungen habe ich die Malware per Suchen-und-Ersetzen rausgeworfen.

Wer keine Ahnung von PHP hat und die Arbeit lieber einem Profi überlässt, der sollte sich mal über den Service [SUCURI->sucuri] informieren. Den nutze ich immer, wenn mal wieder komplette Blogs befallen sind und es manuell einfach nicht mehr zu schaffen ist.

Sir Apfelot auf SteadyHQ unterstützen

1 Kommentar

  1. […] dann ein schönes Script verpaßt, was dazu führt, dass über das eigene Blog ab sofort fleissig Malware an die Besucher verteilt wird. Diese Scripte dann wieder zu entfernen, kann ein recht zeitraubendes Abenteuer […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.