1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WordPress Installation gehackt (WP 3.3.1)

Dieses Thema im Forum "Allgemeines" wurde erstellt von torstendlp, 10. Januar 2012.

  1. torstendlp

    torstendlp Active Member

    Registriert seit:
    24. Januar 2008
    Beiträge:
    31
    Zustimmungen:
    0
    Hallo,

    heute wurde meine Wordpress-Installation gehackt.
    Ich verwende die neueste Version von Wordpress (3.3.1 DE-Edition).

    Laut meinem Hoster (Mittwald) wurde eine wp-Datei (ich weiß nicht, ob ich aus Sicherheitsgründen hier schreiben darf welche evtl. verletzlich ist, deshalb lasse ich es erstmal. Wenn es erlaubt sein sollte, kann ich gerne nachreichen, welche Datei betroffen ist. Aber mal will ja keine schlafenden Hunde wecken, die das dann ausnutzen könnten) als "Einfallstor" genutzt und auf diesem Weg Schadcode auf den Server eingebracht.
    Dabei wurden alle Javascript / .js Dateien auf dem Server (neben WP auch TYPO3 und Piwik) modifiziert und am Ende der .js-Dateien Schadcode eingefügt (der z.B. von Kaspersky als Malware gemeldet wird).

    Inzwischen wurde das mittels File-Backup korrigiert, da die betroffene WP-Datei aber noch die gleiche ist, könnte man aber natürlich nicht sicherstellen, dass das nicht wieder passiert.

    Deshalb meine Frage:
    Ist eine Sicherheitslücke in WP 3.3.1 bekannt, die zum Ausführen der Änderungen an .js-Dateien wie oben beschrieben führen kann?
    Gibt es dafür schon einen Fix?

    Vielen Dank vorab für Eure Hilfe!

    Torsten
     
  2. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Na wenn Dein Hoster genauere Infos hat, dann könnte er diese ja z.B. an wordpress.org weitergeben...

    Wenn eine solche Sicherheitslücke bekannt wäre, gäbe es mit Sicherheit schon einen entsprechenden Fix. Oder aber sie ist bereits bekannt, wird aber nicht als sooo kritisch eingestuft, sodass ein Fix in den nächsten Tagen kommt. Im schlechtesten Fall ist die Lücke bekannt und die Entwickler haben noch keinen Lösungsansatz gefunden.

    Einfallstore können aber auch die anderen Systeme auf Deinem Webspace sein, was ich nicht für ganz abwägig halte, wenn dort noch Typo3 und Piwik laufen.

    Unsichere Zugangsdaten/Themes/Plugins oder der eigene PC könnten ebenfalls dazu führen, dass sich irgendjemand auf dem Server austoben kann. Ich vermute, dass die betroffene WP Datei nur die erste Datei war, die mit dem Schadcode infiziert wurde.
     
  3. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    lol Torsten :) dein Provider stellt bewusst eine Sicherheitslücke online, mit der andere Dateien auf dem Server verändern können?

    Wahnsinn, was es gibt!

    Ich hoffe das Blog läuft nicht mit deinem Shop auf einem System? Sicherlich kennst du deine Haftung :)

    Auch wenn es löblich ist, dass dein Provider die Malware beseitigt hat - aber sorry ... die Sicherheitslücke hat im Web nichts verloren....

    Damit ein Fremder auf dem Server Dateien schreiben kann (hier am Ende einer JS Datei ein Schadcode) muss dieser die Datei *öffnen*, *lesen*, und schreiben können!

    Wer js. Dateien auf deinem Webspace lesen und schreiben kann - der kann auch eben die Datenbankzugangsdaten auslesen und weitere wilde Sachen machen.

    Tipp: such dir einen anderen Provider, der, der das System nicht online stellt. sondern unter Quarantäne

    cu

    ralf

     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden