WordPress base64 Hack Cleanup Script – base64 Hack reparieren

Alarm! Deine Site wurde gehackt!

Kennt Ihr das? Ihr stolpert über eine Eurer (WordPress-)Dateien und findet am Anfang derselben eine bedrohlich wirkende Codeschlange, die wie im Bild beginnt…

Gratuliere! Deine Site wurde gehackt!

Das ist mehr als unangenehm! Dieser „Exploit“ findet sich vermutlich nicht nur in der gefunden Datei, sondern meist in vielen Dateien, manche davon kniffelig versteckt.

Dieser Code wird beim Aufruf der entsprechenden Seite/Datei entschlüsselt und ausgeführt, die veranlassten Aktionen reichen von User umleiten, Mails versenden, Dateien verändern über Suchmaschinen Code modifizieren bis hin zum Übergreifen auf andere Domains.

Bevor ich nun demnächst einen Beitrag zum Thema „WordPress Sicherheit“ poste, hier mal auf die Schnelle ein Reparatur-Script und eine Anleitung, wie Ihr diese verwendet.

PDF-Download * Base64 Hack Fix .zip (4KB)

Die beiden winzigen Dateien darin:

  • shared-hosting-fix1.php
  • shared-hosting-fix2.php

Und so geht’s

  • Mache ein Backup Deiner Dateien – am einfachsten mit einem FTP-Client alle Dateien zu Dir auf Deinen PC herunterladen.
  • Benenne die beiden Reparaturscripts anders, also z.B. elixy1.php und elixy2.php
  • Stelle beide Dateien per FTP in das Rootverzeichnis (also das oberste Verzeichnis) Deiner Domain bzw. in jenen Ordner, in dem Du sämtliche Dateien für das Web drin hast (das kann je nach Provider der Ordner public_html oder www oder Ähnliches sein).
  • Rufe jede der Dateien in einem Browser auf, also z.B. http://www.meinedomain.at/elixy1.php
  • Es wird Dir angezeigt, wieviele und welche Dateien infiziert sind. Am Ende der Liste (soferne diese nicht leer ist), gibt es einen Button, mit dem Du die Dateien reparieren kannst.
  • Klicke den Button – die bösen Codeschlangen werden gekillt.

Sollte irgend etwas schiefgehen (ich hab’s bisher auf rd. 100 Domains problemlos durchgeführt), so kannst Du immer noch das Backup wieder zurück auf den Server laden…

Mehr zum Thema „Sicherheit in WordPress“ in Kürze…

©Die Originaldateien stammten übrigens von Andy Stratton, lieferten allerdings einen Script-Fehler, da ein Kommentar umgebrochen war…

 

 

5 Kommentare

  1. Thanks, this seems to solve the problem (at least for now). I am on a shared hosting server but I have about 25 different WordPress installations, so removing this all by hand would have been a nightmare!

    The only problem is I’m not sure how I got this virus in the first place…. any idea how this spreads in the first place?

    • Hi Pete,

      I know definitely, that I caught it with timthumb.php – do you have this installed?

      Kind regards,
      eliZZZa

  2. Hi – this may be a silly question, but what language is your site in? I can’t read the post, so I’m having problems trying to use this fix. Thx

  3. Vielen Dank für diesen kurzen und präzisen Beitrag. Nach einer falsch positiven Meldung von WP Antivirus hat Google mich hierhin gelotst.

    Liebe Grüße aus dem hohen Norden

    Marko

    P.S. Das bezeichnet man wohl als Zufall. Ich habe heute Ihr/Dein Buch (Einstieg in CSS) mehrfach in der Hand gehabt. Sehr angenehme Lesart!