Logo der Web- und Grafikagentur jotdesign aus Hofheim am Taunus in der weißen Variante
Logo der Web- und Grafikagentur jotdesign aus Hofheim am Taunus

Wie man den “monit.php”-Hack entfernt

Logo für die Reihe WordPress Tipps & Tricks im Blog der Web- und Grafikagentur jotdesign
Derzeit macht ein Hack namens “Monitization” die Runde und befällt zahlreiche WordPress-Installationen weltweit. Das als Plugin getarnte Tool zeigt dem Seitenbesucher ein Popupfenster an und wird von den Hackern dazu missbraucht die Google-Platzierung der Seite negativ zu beeinflussen. Daher ist es umso wichtiger, den Hack sofort zu entfernen.

Inhaltsverzeichnis

Was ist der “Monitization”-Hack?

Der Hack installiert ein Plugin, fügt Schadcode in WordPress-Dateien ein und erstellt Einträge in der Datenbank, die mit Spam-URLs und Weiterleitungen auf Spam-Seiten gefüllt werden. Hacker nutzen das Plugin, um Einfluss auf die Google-Platzierung Ihrer Website zu nehmen.

Dazu werden Techniken verwendet, die als “Black Hat SEO” bezeichnet werden. Diese Techniken entsprechen natürlich nicht den Nutzungsbestimmungen von Google. Sie führen letztlich dazu, dass Google Ihre Seite abstraft. Sie werden in den Suchergebnissen weiter nach unten rutschen und verlieren das Vertrauen der Suchmaschine in Ihre Website.

Wie bemerke ich, dass ich gehackt wurde?

Ein erster Hinweis ist die Anzeige eines Popups, oft mit anstößigen Inhalten, beim Aufruf Ihrer Website. Auf manchen Installationen führt das Plugin aber auch einfach nur zu einer Fehlermeldung. Die Seite ist dann überhaupt nicht mehr nutzbar, auch die Login-Seite funktioniert nicht. WordPress sollte Sie in dem Fall per Email darauf hinweisen, dass ein Fehler vorliegt, und bietet Ihnen den Recovery-Modus an. So können Sie sich zumindest wieder in den Admin-Bereich einloggen.

Verbinden Sie sich als nächstes über ein FTP-Programm wie Filezilla mit Ihrem Server. Die Anmeldedaten bekommen Sie bei Ihrem Hoster. Gehen Sie in den Ordner /wp-content/plugins/ und schauen Sie, ob dort eine Datei namens monit.php vorhanden ist. Wenn ja, sind Sie Opfer des Hacks geworden.

Wie entferne ich den Hack?

Backup erstellen

Ich empfehle Ihnen die Website in den Wartungsmodus zu stellen, damit Besucher die Seite während des Säuberungsprozesses nicht besuchen können. Den in WordPress eingebauten Wartungsmodus können Sie manuell aktivieren. Dazu müssen allerdings Dateien bearbeitet werden. Einfacher ist die Nutzung eines Plugins wie Coming Soon Page & Maintenance Mode, mit dem man dann auch eine optisch ansprechende Baustellenseite für den Besucher ausgeben lassen kann.

Machen Sie anschließend unbedingt ein Backup Ihrer gesamten Website inklusive Datenbank. Sie können dies manuell machen, in dem Sie sich die Dateien auf Ihrem FTP-Server und die Datenbank auf Ihren PC herunterladen. Sie können aber auch ein Backup-Plugin wie Duplicator benutzen.

Befallene Dateien ersetzen

Am sichersten ist es alle Dateien zu ersetzen. Laden Sie sich die aktuelle WordPress-Version von der offiziellen Seite herunter und überschreiben die Ordner wp-admin und wp-includes auf Ihrem Server mit Ihrem FTP-Programm mit den darin enthaltenen Original-Dateien. Diese gehören zum WordPress-Core und können gefahrlos überschrieben werden, da Sie hier keine Änderungen vornehmen sollten.

Laden Sie sich nun noch die aktuellsten Versionen Ihrer installierten Plugins und Themes herunter. Entpacken Sie die Dateien und überschreiben die entsprechenden Unterordner in wp-content/plugins/ und wp-content/themes/.

Falls Sie manuell Änderungen an der Datei functions.php Ihres Themes vorgenommen haben, sollten Sie diese nicht überschreiben. Dadurch würden all Ihre manuell hinzugefügten Änderungen verloren gehen. Die Datei könnte allerdings Schadecode enthalten und sollte daher manuell überprüft werden. Laden Sie sich die Datei einfach von Ihrem Server herunter und öffnen Sie diese mit einem Editor. Suchen Sie nach dem Schlagwort wp_cd_code. Wenn Sie nun einen ungewöhnlich langen Code mit diesem Ausdruck darin finden, löschen Sie die entsprechenden Zeilen und laden die Datei wieder zurück auf Ihren FTP-Server. Sollten Sie kein Suchergebnis erhalten, ist die Datei nicht befallen und muss nicht ersetzt werden.

Hack-Dateien löschen

Löschen Sie nun die Dateien, die der Hack auf Ihren Server geladen hat:

  • wp-content/plugins/monit.php
  • wp-content/plugins/admin_ips.txt
  • wp-includes/wp-cd.php

Die letzte Datei ist nur vorhanden, wenn Sie auch den oben genannten Code in der functions.php Ihres Themes gefunden haben.

Datenbank bereinigen

Loggen Sie sich nun in die Verwaltungsoberfläche Ihres Hosters ein und gehen Sie in die Datenbankverwaltung. Bei vielen Anbietern ist dafür das Tool phpmyadmin installiert. Ich zeige Ihnen hier anhand dieses Tools wie Sie Ihre Datenbank vom Hack befreien können.

Suche in der WordPress Datenbank nach Einträgen des Monitization-Hack

Klicken Sie auf die Tabelle wp-options und dort auf den Tab “Suche”. Geben Sie in der Zeile option_name folgende Suchbegriffe ein. Wenn ein Datenbankeintrag dazu gefunden wurde, entfernen Sie diesen mit einem Klick auf “Löschen”.

  • default_mont_options
  • ad_code
  • hide_admin
  • hide_logged_in
  • display_ad
  • search_engines
  • auto_update
  • ip_admin
  • cookies_admin
  • log_install

Malware Scan durchführen und Updates durchführen

Loggen Sie sich nun in die WordPress-Administrationsoberfläche ein und führen einen Malware Scan durch. Dazu brauchen Sie ein Plugin wie Wordfence. Dieses stellt gleichzeitig eine Firewall zur Verfügung, um Sie vor zukünftigen Angriffen zu schützen. Prüfen Sie auch nochmal, ob alle Updates für WordPress und Ihre Plugins installiert sind. Führen Sie zum Schluss ein weiteres Backup Ihrer Website durch.

Wie kann ich mich schützen?

Einen hunderprozentigen Schutz gibt es natürlich nicht. Aber ein gut gepflegtes WordPress-System ist schonmal die halbe Miete. Halten Sie sowohl die WordPress-System-Dateien als auch die Plugins immer auf dem neuesten Stand. Nutzen Sie keine veralteten Plugins, für die es seit Jahren keine Updates mehr gibt. Diese könnten Hintertüren für Angreifer öffnen. Installieren Sie am besten immer nur Plugins seriöser Anbieter. Diese werden zwar von vielen genutzt und sind daher auch ein attraktives Ziel für Hacker. Dafür gibt es hier meist einen schnellen Support und regelmäßige Updates. Installieren Sie zusätzlich Sicherheitsplugins wie Wordfence. Wenn Sie mehr Funktionen brauchen, können Sie natürlich auch in Bezahlplugins investieren.

Eine Antwort

  1. Hallo zusammen,

    vielen Dank erstmal für diese Anleitung. Es deutet alles darauf hin, dass ich das Problem hatte. Wobei bei mir nicht
    wp-content/plugins/monit.php zu finden war sondern wp-content/plugins/mplugin.php

    Erst als ich das entfernt hatte wurde das ständige erstellen der Datenbankeinträge und
    wp-content/plugins/admin_ips.txt

    gestoppt. Ich hatte bereits Wordfence PRO, damit scheint das Problem aber noch nicht so richtig behoben zu sein.

    Was würden Sie davon halten wenn man einfach die Dateien, welche erstellt werden als leere Dateien auf den Server stellt und per Zugriffsrechte verhindert, dass diese wieder manipuliert werden können.

    Viele Grüße
    Winfried Weingartner

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert
Archiv
Kategorien

Kontakt

Folgen Sie mir

Jetzt Projekt starten

Sie haben Interesse bekommen Ihr Traumprojekt mit mir gemeinsam zu verwirklichen? Dann sollten wir uns einfach mal persönlich kennenlernen. Ich freue mich auf Ihre Kontaktaufnahme.

Welches Projekt planen Sie?
Wieviele Seiten umfasst Ihre Website?
Mit wie vielen Produkten planen Sie?
Wählen Sie die gewünschte Leistung aus (Mehrfachauswahl möglich).
Beschreiben Sie Ihr Wunschprojekt.
Wieviele Mitarbeiter beschäftigen Sie?
Wann soll das Projekt fertig gestellt werden?
Wieviel Budget steht zur Verfügung?
Wann sind Sie am besten telefonisch erreichbar?
Ihr Vorname (Pflichtfeld)
Ihr Nachname (Pflichtfeld)
Ihre Email-Adresse (Pflichtfeld)
Ihre Telefonnummer (Pflichtfeld)
Ihr Firmenname
Ihre Branche
Ihre bisherige Website (falls vorhanden)
Ihre Anmerkungen
Unverbindliche Beratung: 06724 2064433

© Design by jotdesign – web & media 2024

Facebook Linkedin Xing Behance
Facebook Xing Instagram Behance