Heute hatte ich wieder einen Fall, bei dem eine Wordpress-Seite eines Kunden gehackt wurde. Der Hoster hat eine Liste mit Dateien geschickt, die Schadcode enthalten. Auffällig dabei: Alle bösen Files liegen im Verzeichnis des [Wordpress Theme->wordpress-themes] „Avada“:
- /wp-content/themes/Avada/framework/plugins/LayerSlider/layerslider.php
- /wp-content/themes/Avada/wp-conf.php
- /wp-content/themes/Avada/atom-conf.php
- /wp-content/themes/Avada/.cached
- /wp-content/themes/Avada/bruteforceng.so
Besonders die Datei „bruteforceng.so“ macht mir Sorgen, denn dabei handelt es sich um eine Unix Library, die offensichtlich das Ziel hat irgendetwas per [Bruteforce-Attacke->bruteforce] zu hacken. Es kann sein, dass damit auch andere Server attackiert werden sollen, aber genaueres konnte ich der Datei nicht entnehmen.
Ein Blick in die styles.css im Avada-Verzeichnis verrät mir, dass es sich um die Version 3.1.1 des Wordpress Themes handelt. Wir werden jetzt nochmal die aktuelle Theme-Version einspielen, aber ich denke, dass die Version 3.1.1 irgendwo eine Sicherheitslücke hat, denn es ist schon bemerkenswert, dass sich die Malware auf das Avada-Verzeichnis konzentriert.
Ich gebe hier aber gerne die Entwicklung in diesem Fall weiter. Aktuell warten wir auf die Re-Aktivierung des Hostings durch Host-Europe. Dort werden Domains mit Schadcode sofort gesperrt und man muss erst die Malware entfernen und dem Support schreiben, bevor das Hosting wieder aktiviert wird.
Kapitel in diesem Beitrag:
Meine Tipps & Tricks rund um Technik & Apple
Ähnliche Beiträge
Seit 2012 betreibe ich meinen Blog als Sir Apfelot und helfe meinen Lesern bei technischen Problemen. In meiner Freizeit flitze ich auf elektrischen Einrädern, fotografiere mit meinem iPhone, klettere in den hessischen Bergen oder wandere mit meiner Familie. Meine Artikel behandeln Apple-Produkte, Drohnen-News und Lösungen für aktuelle Bugs.