threatover Patrik Grobshäuser

PHARMA-HACK · WORDPRESS · BEREINIGT

wp-vcd malware removal.

Die wp-vcd-Familie kopiert sich in jedes Theme der Installation — deshalb kommt sie nach dem Löschen immer wieder. Wir bereinigen jedes Theme, jede functions.php und den Loader, der sie neu installiert. Pauschal 279 $.

MECHANISMUS

Sie kommt mit einem Nulled-Plugin herein und bleibt monatelang.

wp-vcd ist eine seit langem aktive WordPress-Malware-Familie. Sie kommt fast immer mit einem raubkopierten Theme oder Plugin von einer Free-Download-Seite. Auf dem Server kopiert sie sich in jedes Theme und ändert jede functions.php, sodass sie bei jeder Anfrage geladen wird.

Eine einzelne Kopie zu löschen ist nutzlos — die anderen stellen sie beim nächsten Seitenaufruf wieder her. Saubere Bereinigung heißt: alle Kopien gleichzeitig finden, zusammen entfernen und den Loader zerschlagen, der sie neu installiert.

grep — wp-vcd Loader-Signaturen
01 grep -rn 'wp-vcd\|class.plugin.php\|tmpcontentx' \\
02     wp-content/themes/
03
04 // Loader is usually a base64-encoded blob at the top
05 // of functions.php in every theme on the install.

What I remove

Jede Kopie, jedes Theme.

  • PLUGIN-TRIAGE

    Jedes Theme der Installation wird aufgelistet. Jede functions.php wird mit dem Original des Theme-Anbieters verglichen.

  • DATEIEN

    wp-vcd.php und class.plugin.php werden in einem Zug aus jedem Theme-Verzeichnis entfernt, damit sie sich nicht gegenseitig wiederherstellen.

  • FUNCTIONS.PHP

    Der eingeschleuste Loader am Anfang jeder functions.php wird entfernt; der Rest der Datei bleibt erhalten.

  • BACKDOORS

    Vom Malware-Code angelegte wp_user-Konten gelöscht. Versteckte Admin-Nutzer — eine wp-vcd-Signatur — entfernt.

  • ABSICHERUNG

    Themes aus unbekannten Quellen werden markiert. Wir empfehlen Ersatz, wo das Original nicht zu beschaffen ist.

  • BERICHT

    Forensischer Bericht in Klartext, geeignet für Kunden, Versicherer oder die eigenen Akten.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.