Hoster hat WordPress Webseiten gesperrt?

Hallo zusammen. Ich habe in den letzten Tagen einige ABUSE Desk Mail von meinem Hoster (hoststar.ch) das meine WordPress Webseiten mit Malware befallen sind. Jetzt sind mehr als die Hälfte meiner Webseiten gesperrt.

Das ist gut so, denn ich hätte das nie gemerkt.

Grundlegende Meldung ist: "{CAV}Sanesecurity.Malware.31810" von der ich im Internet nichts finde, um den Fehler zu analysieren.

Kennt jemand diese Meldung oder wie ich weiter vorgehen soll?

Danke Klaus Wilde

2 Antworten

SpezialAntwort

04.05.2025, 13:14

Die Meldung "{CAV}Sanesecurity.Malware.31810" deutet auf eine Erkennung durch die erweiterten Malware-Signaturen von Sanesecurity hin, die in Ihrem ClamAV-Scanner integriert sind. Da eine direkte Online-Suche nach dieser spezifischen Signatur möglicherweise keine sofortigen detaillierten Ergebnisse liefert, ist es ratsam, sich zunächst direkt an den ABUSE Desk Ihres Hosters hoststar.ch zu wenden. Diese haben die Sperrung vorgenommen und sollten Ihnen präzisere Informationen zur Art der gefundenen Bedrohung und den betroffenen Dateien geben können. Fragen Sie nach konkreten Dateipfaden oder Mustern, die auf den infizierten Webseiten identifiziert wurden.

Ergänzend dazu kann es hilfreich sein, die offizielle Webseite von Sanesecurity zu konsultieren, um allgemeine Informationen über deren Signaturdatenbank und die Arten von Malware zu erhalten, die sie erkennen. Möglicherweise finden Sie dort auch Support-Ressourcen oder Kontaktmöglichkeiten für spezifische Anfragen. Des Weiteren empfiehlt es sich, verdächtige Dateien Ihrer gesperrten Webseiten, sofern dies sicher möglich ist, auf Online-Virenscannern wie VirusTotal hochzuladen. Diese Plattform aggregiert die Ergebnisse vieler verschiedener Antiviren-Engines und kann Ihnen zusätzliche Einblicke in die Natur der Malware geben, auch wenn die spezifische Sanesecurity-Signatur nicht detailliert aufgeführt wird.

Wenn Sie Zugriff auf Ihre Webserver-Dateien haben, sollten Sie diese nach kürzlich geänderten oder unbekannten Dateien durchsuchen, da Malware sich oft in Themes, Plugins oder der WordPress-Core-Installation versteckt. Ein Vergleich Ihrer Dateien mit einer frischen, sauberen Installation von WordPress in der gleichen Version kann ebenfalls verdächtige Abweichungen aufzeigen. Nach der Bereinigung ist es unerlässlich, alle Passwörter im Zusammenhang mit Ihren WordPress-Konten, Datenbanken, FTP-Zugängen und dem Hosting-Panel zu ändern und sicherzustellen, dass Ihre WordPress-Installation sowie alle Themes und Plugins auf dem neuesten Stand sind, um bekannte Sicherheitslücken zu schließen. Die Installation eines zuverlässigen WordPress-Sicherheits-Plugins kann zudem helfen, zukünftige Infektionen zu erkennen und zu verhindern. Arbeiten Sie eng mit dem ABUSE Desk von hoststar.ch zusammen, um die notwendigen Schritte zur Bereinigung zu koordinieren und die betroffenen Webseiten so schnell wie möglich wiederherzustellen.

iQa1x

04.05.2025, 12:59

Die Meldung besagt, das der ClamAV Virenscanner eine Datei gefunden hat, auf die die angegebene Regel passt. Leider bekommt man so einfach nicht raus, was diese Regel ist (das sind nicht-offizielle Virensignaturen von einem Drittanbieter, die müsste man lokal installiert haben, um dazu Informationen abrufen zu können), aber eigentlich sollte die betroffene Datei auch dabei stehen
Auch wenn du die Datei weissst, hilft das nicht, die Malware könnte sich überall eingenistet haben, von Hintertüren, versteckten Admin-Accounts über "übernommene" Plugins bin hin zu Wordpress-Dateien selbst. Da hilft nur plattmachen.
Alle nicht betroffenen Seiten solltest direkt Updaten (Wordpress & Plugins), um die ggf. vorhandene Schwachstelle zu schließen
Die betroffenen Seiten löschen und ein Backup von einem Zeitpunkt, wo diese nicht befallen waren, wiederherstellen. Direkt im Anschluss Wordpress & Plugins updaten.
Ohne Backup wird es kompliziert, da kannst du die betroffenen Seiten eigentlich nur komplett neu aufsetzen. Wordpress / Plugins / Themes etc. müssen auf jeden Fall neu, aber selbst das Übernehmen von Daten / Posts / Seiten aus der vorherigen Datenbank kann dir die Malware selbst oder von dieser eingerichtete Hintertüren wieder zurückbringen.

Woher ich das weiß:Berufserfahrung – Softwareentwickler & Admin

klwild

Beitragsersteller

04.05.2025, 13:11

Danke. Alle Verweise zeigen auf das .../cache/... Verzeichnis.

iQa1x

04.05.2025, 13:46

@klwild

Der Cache kommt von einem Plugin, evtl. gibt es da die Möglichkeit, den in dem Plugin zu löschen (Wordpress selbst hat das nicht). Ggf. kannst du auch versuchen, den Inhalt da drin direkt zu löschen zu verschieben.

Das heisst aber nicht, dass es sich die Malware nicht noch wonders eingenistet hat, irgendwie muss das ja in den Cache gekommen sein...

Hoster hat WordPress Webseiten gesperrt?

2 Antworten

Wie verkauft man Webseiten an Kunden?

Wenn ich eine Wordpress Seite deaktiviere, kann ich dann die Webadresse andersweitig verwenden?

Unbekannter 301 Redirect über IONOS Wordpress?

Webseite (Virus Malware)?

Brauche ich eine Datenbank um eine WordPress Seite zu installieren?

Eigene JavaScript in wordpress?

raspberry pi 4b wie viel Gb für webhosting?

Wordpress seite will sich neu installieren?

Meine Geschäftswebseite wurde von google safe browsing als "betrügerische Webseite" blockiert?

Über Raspberry Pi eigene Webseite inkl Domain (ohneIP) hosten möglich?

WordPress "Cookies sind gesperrt", obwohl aktiviert?

Die URLs der Unterseiten werden immer noch mit der System Domain angezeigt?

Können auf Wordpress.com zwei Menschen gleichzeitig an zwei Webseiten arbeiten?

Nextcloud überschreibt apache configuration?