Eigene Webseite mit Malware verseucht

martinbu

Hallo zusammen,

ich kenne das Forum schon länger und bin begeistert von dem Service der hier geboten wird. Jetzt ist es soweit, dass ich selber ein Problem habe, mit dem ich selber nicht mehr weiter komme. Ich hoffe, dass ich hier genauso tolle Hilfe bekomme, wie es viele andere schon bekommen haben.

Ich bin Webmaster einer Internetseite (www.tus-schildgen.de). Schon seit Monaten habe ich immer wieder mit Viren auf der Seite zu kämpfen. Verschiedene Virenmeldungen, die ich im Laufe der letzten Monate von verschiedenen Leuten bekommen habe, hänge ich an. Der Höhepunkt war dann, dass die Webseite auf einen virenverseuchten Fantasyblog (blog.fantasygifts.com) weitergeleitet wurde, hierzu habe ich keine Virenmeldung. Meist konnte ich das Problem lösen, indem ich über FileZilla alle Dateien gelöscht und ersetzt habe, die in der letzten Zeit geändert wurde. Das Passwort habe ich dann auch immer geändert. Allerdings ging das dann immer nur für kurze Zeit gut und die Seite war ein paar Tage später wieder verseucht. Mein Laptop selber ist laut Malwarebytes virenfrei.

Jetzt habe ich mich mal intensiver mit dem Problem beschäftigt. Nun kann ich aktuell die Seite ohne Virenmeldung aufrufen, ich habe AntiVir als Virenscanner installiert.

Im Internet habe ich recherchiert und bin auf folgende Seite gestoßen: hxxp://evuln.com/hacked/redirect.html#1

Im Verlauf meiner weiteren Recherche stieß ich dann noch auf diesen Artikel: hxxp://paid4magazin.de/index.php/base64-eval-php-script-hack-php-trojaner-befallt-webseiten-durch-malware/

Die beiden Seiten, besonders der zweiten Artikel beschreibt genau den Malware-Code, der in den verseuchten Dateien von mir (siehe letztes angehängtes Zitat) vorhanden ist. Betroffen waren verschiedene index.php sowie page.php und footer.php. Diese habe ich alle bereinigt und der Code ist nun in keiner Datei auf der Webseite mehr vorhanden. Ist die Seite jetzt virenfrei?

Ich habe immer die aktuellste Wordpress-Version sowie aktuellste Plugins installiert gehabt. Jedoch nie die Themes aktualisiert, da ich eins selber modifziert hatte. Vielleicht lag hier der Fehler? Jetzt ist die aktuellste Version installiert. Momentan ist zwar noch etwas Chaos, aber das wird noch beseitigt.

Damit liegt das Problem (zumindest das aktuelle, wie es mit den älteren Virenmeldungen aussieht weiß ich nicht) scheinbar auf meinem eigenen Rechner. Malwarebytes zeigt jedoch keine Meldungen an.

Ich hoffe, ich habe soweit alles an Informationen gegeben, die benötigt werden um mir Erste-Hilfe zu leisten. Ziel ist es, die Webseite vollständig virenfrei zu bekommen und auch gegen zukünftige "Angriffe" zu sichern. Gibt es für die verschiedenen Virenmeldungen und das aktuelle Probleme was ich zum Schluss beschrieben habe die selbe Ursache oder handelt es sich um verschiedene Baustellen? Auch die Frage: Kann mir jemand eine Alternative zu FileZilla nennen, da hier ja ebenfalls das Problem liegen könnte? Vielen Dank schon einmal für eure Bemühungen!

Grüße,
Martin

NACHTRAG: Genau dieses Problem scheint schon länger zu bestehen. In einem alten Backup von September 2012 habe ich genau denselben Code gefunden, lediglich mit leichtgeändertem "aHR0[...]"-Schnipsel. Hier schon waren genau dieselben 10 Dateien betroffen wie aktuell auch. Also liegt hier vielleicht wirklich die Ursache für die ganzen Virenmeldungen?