… don’t panic !
Nachdem ich hier feststellte, dass sich auf meiner WordPress-Installation – ohne meine Einwilligung – das Mining-Programm coinhive eingenistet hat, ging es um das aufspüren und entfernen dieses Schmarotzers.
Falls man das suchen, aufspüren und entfernen dieses JavaScript nicht direkt über die Installation auf dem betroffenen Servers durchführen will, funktioniert es auch so :
Wenn man über den Browser seiner Wahl die betroffene homepage (in diesem Fall die eigene-) aufruft, lässt sich nach Anzeige des Quellcodes dieser Seite (bei FireFox mit rechte Maustaste/Seitenquelltext anzeigen), die Seite durchsuchen und die Position der Einbettung ermitteln. Hierzu nach Anzeige des Quellcode Tastencombination „strg+f“ drücken und als Suchbegriff das Wort „coinhive“ eingeben. Das Suchergebnis könnte dann zum Beispiel so aussehen :
In welche Datei sich coinhive reingeschrieben hat, muss wohl per Sucher ermittelt werden. Betroffen sein können die Verzeichnisse
- /wp-admin
- /wp-includes
und dort die unter anderen Dateien
- index.php
- header.php
- footer.php
- Funktion.php
Wo sich der CoinHive-Mining-Code befindet, hier war es die „footer.php“ des themes, lässt sich aus meiner Erfahrung nicht genau vorhersagen, ich vermutete es „weit unten“ und so war es auch. Gefunden habe ich den Code offline, nachdem hier schon ein aktuelles backup meiner Daten (geholt per FileZilla) zur Verfügung stand. Nach entfernen der betroffenen Zeile – hier in der footer.php – habe ich die bereinigte Datei dann (per FileZilla) in das entsprechende Verzeichnis übertragen und dabei die „infizierte“ Datei überschreiben lassen.
Wie und wodurch es zu diesem „hack“ bei WordPress gekommen ist, lässt sich aus meine Sicht schwer ermitteln. War es eventuelll eine Sicherheitslücke in einem Plugin ?
Allen Betroffenen viel Erfolg bei der Suche und dem entfernen dieses Schmarotzers.
HDS