Bereinigung von Malware infizierten WordPress-Systemen

Von | 10. Mai 2010

Seit letzten Freitag kommt es vermehrt zu Angriffen auf WordPress-Blogs aller Versionen. Anfangs waren nur Blogs betroffen die vom amerikanischen Hoster Dreamhost gehostet werden, mittlerweile sind aber weitaus mehr Systeme betroffen.

Auf sucuri.net habe ich einen ersten Fix gefunden, der bereits infizierte WordPress-Blogs von der Malware befreit.

Fix per SSH-Zugang
Wer über einen SSH-Zugriff verfügt, führt einfach den folgenden Befehlt in eurem Web-Root-Verzeichnis aus.

 $ find ./ -name "*.php" -type f | \
 xargs sed -i 's#<!--?php /\*\*/ eval(base64_decode("aWY.*?-->##g' 2>&1
 $ find ./ -name "*.php" -type f | \
 xargs sed -i '/./,$!d' 2>&1
 

Fix per Web
Falls kein SSH-Zugang zu deinem Server verfügbar ist, lade dir diese Datei (Rechtsklick -> Speichern unter) und benenne die Datei zu wordpress-fix.php um.

Lade die Datei dann per FTP in das Root-Verzeichnis deines Blogs und ruf die Datei im Browser auf (http://www.deineseite.de/wordpress-fix.php) und führe sie aus. Die Ausführung des Skriptes kann ein paar Minuten dauern, da es deinen gesamten Blog nach Malware scannt und entsprechend entfernt.

Wenn das Skript erfolgreich ausgeführt wurde, lösche die Datei wieder von deinem Webserver.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *