threatover Patrik Grobshäuser

PHARMA-HACK · WORDPRESS · BEREINIGT

WordPress favicon malware removal.

Angreifer tarnen PHP-Backdoors als Favicon-Dateien, weil niemand sie ansieht. Wir finden die Fälschungen, entfernen die Backdoor, die sie platziert hat, und sagen Ihnen, wie sie hineinkam. Pauschal 279 $.

MECHANISMUS

Eine Favicon-Datei ist nur ein Bild. Bis sie es nicht mehr ist.

Der Trick ist einfach: Der Angreifer legt eine Datei wie favicon.ico_bak, favicon_baddc6.ico oder wp-favicon.php in Ihren WordPress-Verzeichnissen ab. Das meiste sieht aus wie normale Favicon-Backups. Manche sind in Wahrheit PHP-Dateien, die der Server ausführt, wenn sie richtig aufgerufen werden.

Hosting-Anbieter und Sicherheits-Plugins überspringen Dateien, die wie Bilder aussehen — genau deshalb wählt der Angreifer diese Tarnung. Wir listen jede favicon-ähnliche Datei der Installation, vergleichen sie mit einem sauberen WordPress und prüfen, was sie wirklich ist.

find — Favicon-Dateien, die keine Favicons sind
01 find . -type f \( -name 'favicon*.ico*' \\
02     -o -name 'favicon*.php' \\
03     -o -name '*-favicon*' \)
04
05 // Anything outside the theme root, or any PHP file
06 // in the list, is a candidate for a backdoor.

What I remove

Jeden Ort, an dem sich diese Infektion versteckt.

  • PLUGIN-TRIAGE

    Jede Datei mit favicon-ähnlichem Namen wird gelistet und untersucht — Bild-Header, Dateigröße, letztes Änderungsdatum.

  • DATEIEN

    Gefälschte Favicon-Dateien entfernt. Als Bilder getarntes PHP wird vor der Löschung extrahiert, damit klar ist, was es tat.

  • BACKDOORS

    Die Backdoor, die sie platziert hat — meist in wp-content/uploads oder mu-plugins — wird gefunden und entfernt.

  • DATENBANK

    wp_options und aktive Widgets auf zugehörige Persistenz geprüft. Geplante Aufgaben überprüft.

  • ABSICHERUNG

    PHP-Ausführung in Upload-Verzeichnissen deaktiviert. Berechtigungen verschärft, damit der Trick nicht wiederholbar ist.

  • BERICHT

    Forensischer Bericht in verständlicher Sprache, Eintrittsvektor benannt, was vor der Übergabe geändert werden sollte.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.