PHARMA-HACK · WORDPRESS · BEREINIGT
WordPress favicon malware removal.
Angreifer tarnen PHP-Backdoors als Favicon-Dateien, weil niemand sie ansieht. Wir finden die Fälschungen, entfernen die Backdoor, die sie platziert hat, und sagen Ihnen, wie sie hineinkam. Pauschal 279 $.
MECHANISMUS
Eine Favicon-Datei ist nur ein Bild. Bis sie es nicht mehr ist.
Der Trick ist einfach: Der Angreifer legt eine Datei wie favicon.ico_bak, favicon_baddc6.ico oder wp-favicon.php in Ihren WordPress-Verzeichnissen ab. Das meiste sieht aus wie normale Favicon-Backups. Manche sind in Wahrheit PHP-Dateien, die der Server ausführt, wenn sie richtig aufgerufen werden.
Hosting-Anbieter und Sicherheits-Plugins überspringen Dateien, die wie Bilder aussehen — genau deshalb wählt der Angreifer diese Tarnung. Wir listen jede favicon-ähnliche Datei der Installation, vergleichen sie mit einem sauberen WordPress und prüfen, was sie wirklich ist.
01 find . -type f \( -name 'favicon*.ico*' \\ 02 -o -name 'favicon*.php' \\ 03 -o -name '*-favicon*' \) 04 05 // Anything outside the theme root, or any PHP file 06 // in the list, is a candidate for a backdoor.
What I remove
Jeden Ort, an dem sich diese Infektion versteckt.
-
PLUGIN-TRIAGE
Jede Datei mit favicon-ähnlichem Namen wird gelistet und untersucht — Bild-Header, Dateigröße, letztes Änderungsdatum.
-
DATEIEN
Gefälschte Favicon-Dateien entfernt. Als Bilder getarntes PHP wird vor der Löschung extrahiert, damit klar ist, was es tat.
-
BACKDOORS
Die Backdoor, die sie platziert hat — meist in wp-content/uploads oder mu-plugins — wird gefunden und entfernt.
-
DATENBANK
wp_options und aktive Widgets auf zugehörige Persistenz geprüft. Geplante Aufgaben überprüft.
-
ABSICHERUNG
PHP-Ausführung in Upload-Verzeichnissen deaktiviert. Berechtigungen verschärft, damit der Trick nicht wiederholbar ist.
-
BERICHT
Forensischer Bericht in verständlicher Sprache, Eintrittsvektor benannt, was vor der Übergabe geändert werden sollte.
Preise
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Bereinigung startenMonitoring
$29 / mo
per site, cancel any time
Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.
Schützen lassenPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Alle Leistungen ansehen →E-Mail [email protected] or use the contact form.