WP 4.3.1 gehackt...

Hey Leute.

Ich habe mir zwei kleinere WP-Seiten vor einiger Zeit zusammen geklickt, beide bei 1+1 gehostet, in zwei verschiedenen Kundenkonten.
Heute ist mir aufgefallen, dass beide Seiten nicht mehr erreichbar sind...
Per FTP drauf geguckt und ohweh...

Es findet sich eine sitemap.xml mit unendlich vielen Einträgen zur täglichen Indexierung, vermutlich um die benötigten Zugriffe sicher zu stellen.
die wp-blog-header hat CHMOD 200 und wird ständig auf diesen zurück gesetzt.
Die logs platzen förmlich vor versendeten Emails.

In über 70 Dateien finde ich die Zeile

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Fast jede Datei ist mit evals kompromittiert. Die Index stellt dabei den Zugang scheinbar sicher.
Im Order wp-admin/includes/ wurde eine defines.php erzeugt die allerlei base64-Code enthält.
Weitere "neue" Dateien sind z. B.
/hostdata3.php
/uu.php
/post.php

und viele viele weitere...
Hier auch mal ein Screenshot wie es in der hostdata3.php zum Beispiel aussieht:
http://prntscr.com/cw6zrt

Ich sehe beide Systeme als verloren im Moment, Neubauen wäre sicher einfacher als "reparieren".
Wo ich nur gern etwas Hilfe von euch hätte wären Ideen, wie das passiert sein konnte - ob dieser "Hack" irgendjemandem bekannt vor kommt.
Neubauen hilft mir nur dann, wenn ich die Lücke finde und schließen kann.

Auf 4.3.1. baue ich sicher nicht mehr auf, da die Projekte aber nicht die dringlichsten waren, hatte ich die Updates vernachlässigt.
Das ganze muss die letzten 10 Tage passiert sein.


Grüße
MuffelGuffel

 

Definitiv, bin ich auch völlig bei dir.
Interessant für mich ist vor allem erst mal, wie das passiert ist. Ob das ne Lücke bei 1und1 vielleicht war, oder bei den Themes, Plugins oder generell im Wordpress Core.

Das mit dem Managed werde ich auf jeden Fall mal ausleuchten, bietet 1und1 ja auch an.

 

Danke, habe mal auf die Preise drauf geguckt. Muss an der Stelle gestehen, mir ist nicht ganz klar woher der Preisunterschied zwischen 15€ und 4€ im Monat (zu 1und1) kommen bzw. wenn man von Backup oder Mailpostfächern absieht, ob sich das für mich denn überhaupt rechnet.

 

Morgen,

ich denke ich habe zumindest aus dem ersten Projekt den Schadcode entfernt.
Ich komme auch wieder ins Backend rein, auf dem FTP hat sich bislang auch noch nichts verändert.

Jetzt wollte ich gerne ein Update von WP durchführen, stehe aber vor folgendem Problem:
Dashboard -> Aktualisierungen:

Er will mir also sagen, 4.3.1 ist die aktuellste Version und nu?

 

Bin wieder ein Stückchen weiter.

Nachdem ich nun herausgefunden habe, dass auch viele JS-Dateien extrem kompromittiert wurden, musste ich da auch Hand anlegen.
Irre die Aufrufe die da gemacht wurden, echt irre. Da hat sich jemand mega mühe gemacht für diesen "Hack".

Jedenfalls hat nun doch das Auto-Update funktioniert, nachdem ich die JS-Dateien wieder gegen die aus dem WP-Installer ersetzt habe.
Ich habe nun 4.6.1 drauf und alle Plugins geupdated, waren eh nicht so viele.

Managed klingt ja fein, aber WP hat doch eigentlich auch eine interne automatische Update-Funktion. Taugt die nix?

 

Läuft wieder alles weitestgehend unauffällig.
Bin mal gespannt ob das wieder auftritt...