WDesign ™

wp-vcd.php Malware in WordPress entfernen

Du hast die Datei wp-includes/wp-vcd.php in Deiner WordPress Installation gefunden und möchtest wissen wie man diesen Malware Infekt entfernen kann? Dann bist Du hier richtig.

Die letzten Nächte waren ziemlich lang, da mir von Google Adwords mitgeteilt wurde, dass eine Webseite mit Malware infiziert wäre. Doch trotz intensiver Suche konnte ich zuerst keine schädlichen Aktivitäten feststellen.

Auch in der Google Search Console (Webmastertools) wurde mir unter Sicherheitsprobleme kein Infekt von Malware oder ähnliches angezeigt. Es dauerte einige Zeit bis ich auf dem richtigen Weg war und irgendwann zeigte mir das Plugin „Wordfence“ im Scanergebnis die Datei wp-vcd.php an, da diese wohl nicht zur Standard WordPress Installation gehört und gelöscht werden sollte.

wp-vcd.php aus WordPress entfernen

Die Meldung, dass wp-feed nicht zu WordPress gehört habe ich von Wordfence erhalten und auch damit versucht die unerwünschte Datei aus dem Ordner wp-includes/wp-vcd.php zu entfernt. Doch leider führte dies nicht zu dem gewünschten Ergebnis und wp-vcd.php installierte sich automatisch wieder im selben Verzeichnis.

Während meiner Löschversuche stellte ich dann fest, dass noch weitere Dateien automatisch in wp-includes angelegt werden und ebenfalls nichts in WordPress verloren haben.

Nun musste ich folgenden Dateien irgendwie dauerhaft entfernen:

wp-feed.php
wp-vcd.php
wp-tmp.php

Jeder Versuch scheiterte und die Dateien installierten sich immer wieder eigenständig auf dem Server. Also ging meine Recherche weiter und ich stieß auf einen Kommentar in dem die Rede von der Datei class.theme-modules.php war, die in diesem Zusammenhang mehrfach angelegt sein soll. Doch auf dem gesamten Server konnte ich diese Datei nicht finden.

Stattdessen fiel mir in allen Theme Ordnern die Veränderungen in der functions.php auf.  Dort wurde am Anfang jeder functions.php ein Zusatz angelegt der das Problem scheinbar verursachte.

Nachdem ich den Zusatz in jeder functions.php gelöscht hatte, habe ich auch die Dateien wp-feed.php, wp-vcd.php und wp-temp.php gelöscht. Zusätzlich noch alle Passwörter für FTP, Datenbank und WordPress Backend geändert.

Code in functions.php entfernen

Der in der functions.php neu angelegte Code sieht folgendermaßen aus. Bei mir hat es geholfen diesen aus allen Theme functions.php zu entfernen:

Code Anfang:

Code Ende:

Dies scheint bisher zu funktionieren und Wordfence konnte keinen erneuten Infekt mit Malware in WordPress feststellen. Leider weiß ich aber noch nicht wie es dazu kommen konnte.

Hast Du ähnliche Probleme oder einen anderen Lösungsansatz?

6 Fragen & Antworten
  1. Danke Lars, dein Beitrag hat mir bei dem gleichen Problem auf meiner Webseite geholfen.

    Eigentlich ist mir selbst nichts auf der Seite aufgefallen, wurde nicht sonderlich langsam und Malware hat sich in keinster Weise als Popups oder ähnliches gezeigt.

    Hast du eventuell zur Ursache und Hintergrund dieser Infektion mehr herausfinden können?

    Liebe Grüße,

    Claudio von HD24

  2. Ursache des ganzen sind NULLED Premium Templates.

    Wichtig: Es werden alle WordPress Installationen angegriffen, die sich auf diesem Server befinden.

    Die volle Deinstallation der Malware sieht so aus:

    1. Infizierte post.php bereinigen – der Code sollte so aussehen
    if (file_exists(dirname(__FILE__) . ‚/wp-vcd…. bla bla

    2. wp-feed.php, wp-vcd.php und wp-temp.php komplett löschen

    3. functions.php bereinigen

    4. Den geheimen Admin Account der von der Malware angelegt wird entfernen

    5. Finger weg von illegaler Software =)

  3. Hi – Was meinst du mit dem geheimen „Admin Account“

    Illegale Software habe ich da mal nicht benutzt 🙂 Liebe Grüße Stefan

  4. Hi,

    ist zwar schon älter, ich war aber auch betroffen und konnte es im fastigen Alleingang lösen hier ein paar weitere Hinweise.

    „Mein“ PHP Backdoor (Backdoor:PHP/WP-VCD.5473) hat eine wp-feed.php angelegt, in der die IP-Adressen gespeichert wurden, von denen sich der Admin eingeloggt hat. -> Der Admin sieht die Sex Werbung demnach nicht, sondern nur die Enduser.

    Betroffen war bei mir die Functions.php in der Template Struktur.

    Den kompletten Code Snippet entfernen inkl. WP-Feed.php und WP-TMP.php (kann komplett weg).

    Kann hier nur WordFence empfehlen (in der freien Variante).

  5. Nachtrag: Hidden Admin Accounts -> In die Datenbank gehen und folgendes Statement absetzen:

    select * from _usermeta where meta_value LIKE ‚%administrator%‘

    Und alle löschen, die man a) nicht kennt oder dessen ID nicht mit denen im Backend übereinstimmt.

  6. Hi DENNIS,
    du schreibst „den kompletten Code Snippet entfernen“…welchen meinst du genau? Hab auch das Problem der Sex-PopUps bei Endusern…*nerv*

Schreib´ einen Kommentar

WDesign
Logo