WDesign ™

wp-tmp.php Malware in WordPress entfernen

Du hast die Datei wp-includes/wp-tmp.php in Deiner WordPress Installation gefunden und möchtest wissen wie man diesen Malware Infekt entfernen kann? Dann bist Du hier richtig.

Die letzten Nächte waren ziemlich lang, da mir von Google Adwords mitgeteilt wurde, dass eine Webseite mit Malware infiziert wäre. Doch trotz intensiver Suche konnte ich zuerst keine schädlichen Aktivitäten feststellen.

Auch in der Google Search Console (Webmastertools) wurde mir unter Sicherheitsprobleme kein Infekt von Malware oder ähnliches angezeigt. Es dauerte einige Zeit bis ich auf dem richtigen Weg war und irgendwann zeigte mir das Plugin „Wordfence“ im Scanergebnis die Datei wp-tmp.php an, da diese wohl nicht zur Standard WordPress Installation gehört und gelöscht werden sollte.

wp-tmp.php aus WordPress entfernen

Die Meldung, dass wp-feed nicht zu WordPress gehört habe ich von Wordfence erhalten und auch damit versucht die unerwünschte Datei aus dem Ordner wp-includes/wp-tmp.php zu entfernt. Doch leider führte dies nicht zu dem gewünschten Ergebnis und wp-tmp.php installierte sich automatisch wieder im selben Verzeichnis.

Während meiner Löschversuche stellte ich dann fest, dass noch weitere Dateien automatisch in wp-includes angelegt werden und ebenfalls nichts in WordPress verloren haben.

Nun musste ich folgenden Dateien irgendwie dauerhaft entfernen:

wp-feed.php
wp-vcd.php
wp-tmp.php

Jeder Versuch scheiterte und die Dateien installierten sich immer wieder eigenständig auf dem Server. Also ging meine Recherche weiter und ich stieß auf einen Kommentar in dem die Rede von der Datei class.theme-modules.php war, die in diesem Zusammenhang mehrfach angelegt sein soll. Doch auf dem gesamten Server konnte ich diese Datei nicht finden.

Stattdessen fiel mir in allen Theme Ordnern die Veränderungen in der functions.php auf.  Dort wurde am Anfang jeder functions.php ein Zusatz angelegt der das Problem scheinbar verursachte.

Nachdem ich den Zusatz in jeder functions.php gelöscht hatte, habe ich auch die Dateien wp-feed.php, wp-vcd.php und wp-temp.php gelöscht. Zusätzlich noch alle Passwörter für FTP, Datenbank und WordPress Backend geändert.

Code in functions.php entfernen

Der in der functions.php neu angelegte Code sieht folgendermaßen aus. Bei mir hat es geholfen diesen aus allen Theme functions.php zu entfernen:

Code Anfang:

Code Ende:

Dies scheint bisher zu funktionieren und Wordfence konnte keinen erneuten Infekt mit Malware in WordPress feststellen. Leider weiß ich aber noch nicht wie es dazu kommen konnte.

Hast Du ähnliche Probleme oder einen anderen Lösungsansatz?

2 Fragen & Antworten
  1. Aktuell findet sich diese Datei wieder in verschiedenen WordPress Installationen. Dabei schleicht sich eine Datei mit type=“text/javascript“ src=“//go.pub 2srv.com ein

  2. Den Mist hatte ich auf drauf.
    Draufgekommen bin ich, weil ich zufällig eine plötzliche Weiterleitung gesehen habe.
    Bei mir aber keine „wp-vcd.php“ zu finden.
    Habe auch folgendes gemacht:
    1) backup
    2) Wordfence installiert
    3) den Müll entfernt
    4) erneuten, tiefergehenden Scan mit Wordfence gemacht
    und werde dann evtl wieder als alte Backup draufspielen und den Müll von diesem entfernen.
    Somit bin ich auch Wordfence wieder los.

    Danach selber mein WP „härten“.

Schreib´ einen Kommentar

WDesign
Logo