WordPress-Website mit Virus infiziert; Wie kann ich sichern oder wiederherstellen?
Lesezeit: 8 Minuten
Gagandeep Singh
Meine WordPress-Websites sind mit Schadcode infiziert. Was kann ich tun, um Daten oder Backups wiederherzustellen? Websites zeigen eine leere Seite oder leiten zu einer bösartigen URL weiter. Der folgende Code (und ähnliches) wurde in viele Seiten eingefügt (es wurden auch viele Dateien mit unterschiedlichen Namen erstellt):
Auch hier – öffnen Sie Ihre Datenbank in phpmyadmin und geben Sie Folgendes in das SQL-Feld ein:
UPDATE wp_posts SET post_content = REPLACE(post_content,"<script src="https://dock.lovegreenpencils.ga/m.js?n=nb5" type="text/javascript"></script>",'') WHERE post_content LIKE '%lovegreenpencils%'
Es werden alle Beiträge aus dem Skript gelöscht, aber Sie müssen schauen, woher die Einträge kommen.
Ahmed Ibrahim
Ich habe dieses Problem mit mehr als 5 WordPress-Websites konfrontiert,
Ich habe es behoben, indem ich alle ersetzt habe dock.lovegreenpencils.ga Links mit “#”, damit es ins Nirgendwo zeigt.
1 . Führen Sie diesen Befehl in Ihrem WordPress-Verzeichnis aus
grep -r "lovegreenpencils" .
Sie sollten alle infizierten Dateien sehen können:
Ersetzen Sie alle Links mit diesem Befehl
find . -name "*.php" |xargs sed -i "s/https:\/\/dock.lovegreenpencils.ga\/m.js?n=ns1/#/g"
Alle übereinstimmenden Skripte werden durch “#” ersetzt.
Bereinigen Sie alle Skripts, die Ihrem WP-Inhalt hinzugefügt wurden
UPDATE wp_posts SET post_content = REPLACE(post_content,"<script src="https://dock.lovegreenpencils.ga/m.js?n=nb5" type="text/javascript"></script>",'') WHERE post_content LIKE '%lovegreenpencils%'
Links könnten mit enden m.js?n=nb5 oder m.js?n=ns1 vergiss nicht, beide zu entfernen.
AKTUALISIEREN:
DIESER Milkouse-Code generiert auch die Skript-URLs aus charCode Um nicht durchsuchbar zu sein.
Die obigen Schritte haben meine Website wieder zum Laufen gebracht.
Hinweis: Diese Malware hinterlässt auch eine Hülle, ich kompiliere alles, was ich finde hier. Fühlen Sie sich frei, alles hinzuzufügen, was Sie für wertvoll halten.
– Wasserwelt
6. Dezember 2020 um 5:50 Uhr
Hallo Ahmed, dein Beitrag hat mir sehr geholfen, ich konnte nur nicht herausfinden, wo du dieses Skript “String.fromCharCode()” findest? Ich habe meine DB und Dateien durchgesehen, konnte sie aber nirgendwo finden.
– kajdzo
13. Februar 2021 um 17:28 Uhr
Es gibt ein paar Dinge, die Sie tun können, um Ihre WordPress-Sites zu bereinigen:
1- Überprüfen Sie visuell Ihre public_html Ordner, in dem Ihr WordPress installiert ist. Möglicherweise sehen Sie auch in Ihrem Stammordner seltsame Dateinamen wp-includes, wp-content oder wp-admin Ordner und Unterordner.
2- Überprüfen Sie, ob Code eingefügt wurde index.php (im Stammordner) und wp-config.php
3- Installieren Wordfence plugin und führen Sie einen manuellen Scan durch. Es wird Ihre WordPress-Installation, Plugins und Designdateien durchgehen und alles Ungewöhnliche melden.
4- Aktualisieren Sie anschließend Ihre Seite mithilfe der Registerkarte „Netzwerk“ der Chrome Developer Tools und prüfen Sie, ob Verbindungen zu bösartig aussehenden URLs bestehen.
Entfernen Sie alle Plugins und Themes, die Sie nicht verwenden. Vertraue keiner .php-Datei unter deinem wp-content-Verzeichnis blind.
– Iñigo González
19. November 2020 um 14:55 Uhr
Hier ist das Skript, das ich erstellt habe, um die infizierten Dateien auf meinen Websites zu löschen …
Hoffentlich hilft es. Das ist alles, was ich für dich tun kann…
Wie bereits erwähnt, müssen Sie auch den Mist in post_content aus wp_posts mit dem folgenden SQL entfernen:
UPDATE wp_posts SET post_content = REPLACE(post_content,””,”) WHERE post_content LIKE ‘%lovegreenpencils%’
und fügen Sie Ihre Domain-URL in der Option siteurl/home unter wp_options wieder hinzu.
Speichern Sie den folgenden Code in einer PHP-Datei und ändern Sie die Einstellungen, damit er auf Ihrem System funktioniert.
Bitte beachten Sie, dass sich diese Malware auch auf die DB ausbreitet. Um die DB zu bereinigen, befindet sich die Regex am Anfang der Datei. Oder Sie können einfach ausführen: perl -pi.bak -e "s/<script[\s\S]*?>[\s\S]*?<\/script>//g" infected_db.sql
Wenn Sie von anderen URLs erfahren, die böswillig injiziert werden, lassen Sie es mich bitte wissen, ich werde das Skript aktualisieren, um diese einzufügen.
Grüße
Aadii Mogul
In meinem Fall hatte es viel Code, aus dem ich den gesamten Code aus der Spalte post_content kopiert habe wp_post oder your table name und durch alle ersetzen.
UPDATE wplm_posts SET post_content = REPLACE(post_content,"{{{WITHOUT BRACKET -- Your code here that is in Column Post_content}}}",'') WHERE post_content LIKE '%lovegreenpencils%'
in meinem Fall mein Code in post_content Spalte war: