1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Bitte um Hilfe: Blog gehacked, Spam wird im Code der Beiträge untergebracht

Dieses Thema im Forum "Allgemeines" wurde erstellt von FrankPS, 23. März 2008.

  1. FrankPS

    FrankPS Member

    Registriert seit:
    23. März 2008
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo liebe WP-Community,

    Ich wende mich an Euch, weil mein WP-Blog Phaenorealismus "gehacked" worden ist, und ich mit der Bekämpfung nicht wirklich weiter komme. Ich hoffe, Ihr könnt mir helfen.

    * Beschreibung:
    Seit einigen Wochen tauchen immer wieder "Ergänzungen" meiner Einträge auf (also der eigentlichen Blogeinträge - nicht der Kommentare). Sie sind immer im Code des Eintrages versteckt, hier mal ein Beispiel (sorry für die NSFW-Inhalte, sie sind nicht von mir ;)):

    "Dies ist nur ein kleiner Test-Beitrag aus Maintainance-Gründen. Bitte ignorieren.

    <font style="overflow: hidden; position: absolute; height: 0pt; width: 0pt"><!--4848--><a href="http://www.kevinminnis.com/hqc.php?closeup.htm">gay close up cum</a>
    <a href="http://www.kevinminnis.com/hqc.php?machine.htm">pussy fucked by machines</a>
    <a href="http://www.kevinminnis.com/hqc.php?bdsm.htm">rubber bdsm</a>
    <a href="http://www.kevinminnis.com/hqc.php?paparazzi.htm">banned paparazzi photos</a>
    <a href="http://www.kevinminnis.com/hqc.php?college.htm">shawnee community college</a>..."

    Der erste Teil mit dem testeintrag ist von mir - alles ab dem <font>-Tag ist zugefügt worden.

    Der Spamm ist in meinem Blog nicht zu lesen, wenn man direkt die URL aufruft - er ist aber sehr wohl im RSS-Feed zu sehen (z.Bsp. im google-reader). Er ist auch in der WYSISYG Ansicht des Rich Text Editors nicht zu sehen, wohl aber in der Codeansicht.

    Wenn ein solcher Spam-Eintrag vorhanden ist, dann ist auffällig, dass immer die Kommentarfunktion zum jeweiligen Blogeintrag geschlossen wurde, und auch keine Pings mehr zulässig sind. Diese beiden Einstellungen habe ich vorher bei den Einträgen nicht vorgenommen.

    * WP-Version: Das Problem ist zunächst bei einer 2.1.X-Version aufgetreten, aber bleibt auch nach Update auf 2.3.3 DE bestehen. (Ja, ich hätte vorher / regelmässiger updaten sollen... Jetzt bin ich schlauer. Und waidwunder...)

    * Bisherige Aktionen:
    - Immer wieder die Änderungen an den Beiträgen rückgängig gemacht. (Gerade der NSFW-Aspekt ist für mich als Pädagoge nicht wirklich karrierefödernd... :/)
    - WP-Update (s.o.)
    - Alle Verzeichnisse bezüglich der Rechte gecheckt: Alle sind (und waren) 775.
    - Aller Verzeichnisse nach verdächtigen Inhalten durchsucht - so weit ich das beurteilen kann, ist da nichts. (Also beispielsweise keine Verzeichnisse "1" oder so...)
    - Alle Nutzer außer dem Admin auf "Leser" zurückgesetzt (waren Sie aber meiner Meinung nach auch vorher schon). Es sind keine unbekannten Nutzer darunter.
    - Alle Nutzer auch in der Datenbank geprüft, alle ok.
    - Admin-Passwort geändert, allerdings war es vorher schon ziemlich sicher (>10 Stellen, keine Worte, buchstaben & zahlen & sonderzeichen gemischt).

    HILFE! Hat wer so etwas ähnliches schon erlebt? Wie könnte ich vorgehen, um dieses Problem zu lösen? Eine komplette Neuinstallation würde ich gerne - sofern es geht - vermeiden wollen ...

    Vielen Dank schon mal, und mit besten wenn auch etwas verzweifelten Ostergrüßen,


    Frank
     
  2. FrankPS

    FrankPS Member

    Registriert seit:
    23. März 2008
    Beiträge:
    5
    Zustimmungen:
    0
    Update: Hmm, ich weiss nicht ob es damit zusammenhängt, aber seit kurzem werden die Blogeinträge nicht mehr im Google-Reader angezeigt ...

    Frank

    PS: Ach so, noch was: Sorry wenn hierfür vielleicht schon ein Eintrag im Forum steht, aber ich habe mit der Suchfunktion absolut nichts Passendes gefunden... Sollte es sowas geben, wäre ich für Hinweise dankbar.
     
    #2 FrankPS, 23. März 2008
    Zuletzt bearbeitet: 23. März 2008
  3. FrankPS

    FrankPS Member

    Registriert seit:
    23. März 2008
    Beiträge:
    5
    Zustimmungen:
    0
    Update: Zur Information: Es sind keine Plugins installiert, und das Theme ist eine Modifikation des Word Press Default 1.6.

    Frank
     
  4. Keiran

    Keiran Well-Known Member

    Registriert seit:
    3. Januar 2007
    Beiträge:
    472
    Zustimmungen:
    0
    Also eigentlich hast du das Wichtigste ja schon selbst erkannt mit dem Updaten...

    Wird immer wieder gewarnt und gemahnt hier im Forum wie wichtig es ist mit dem Updaten - nicht der Funktionen, sondern der Sicherheit wegen.

    Hab da selber glücklicherweise keine Erfahrung mit, kann dir aber sagen, dass das mit Google wohlan damit zusammenhängt.

    Wird meines Wissens als Schadcode von der Suchmaschine erkannt, wonach eine Sperrung deiner Seite in der Auflistung der Suchmaschine erfolgt.

    Bis ein Experte hierzu Stellung nehmen mag kann ich nur sagen: allen Sicherheitshinweisen Folge leisten - und was schon da ist... naja... wie Schimmel - jetzt musst man halt selbst Hand anlegen, nachdem der schon da ist...
     
  5. FrankPS

    FrankPS Member

    Registriert seit:
    23. März 2008
    Beiträge:
    5
    Zustimmungen:
    0
    @Keiran: Danke schon mal. Ja, der Vergleich mit dem Schimmel ist ganz gut ... Was google angeht: Der RSS lässt sich aber weiterhin zum Reader hinzufügen, und im google-index ist kein Hinweis auf gefährliche Inhalte auf meiner Seite.

    Update:
    - wp-admin/-Verzeichnis mit .htaccess geschützt.
    - "http://faq.wordpress-deutschland.org/wordpress-sicherer-machen/"-Pdf runtergeladen ...
    - Google-Rss funktioniert wieder - lag wohl am Reader ... ein Symptom weniger ... Dr. House würde das freuen ...
     
    #5 FrankPS, 23. März 2008
    Zuletzt bearbeitet: 23. März 2008
  6. FrankPS

    FrankPS Member

    Registriert seit:
    23. März 2008
    Beiträge:
    5
    Zustimmungen:
    0
  7. Miko

    Miko Member

    Registriert seit:
    16. Februar 2008
    Beiträge:
    6
    Zustimmungen:
    0
    mir ist was ähnliches passiert.
    wenn ich bei google deutschland "BOINC" als suchwort eingab erschien mein BOINC Blog ziemlich weit oben aber er hatte plötzlich einen Vermerk, das "diese webseite ihrem Computer schaden zufügen kann"...
    fast zeitgleich kam eine email von google das meine webseite (der blog) schad-code enthält...
    ...ach ja, und mit dem firefox explorer bauten sich alle seiten des blogs nur sehr langsam auf.
    ich als laie habe lange gebraucht um besagten code im blog zu finden.
    es war ein text (script-code) der an ein paar meiner beiträge angehängt war und der definitiv nicht von mir stammt!
    bereinigung der beiden betroffenen beiträge und änderung meines admin PWs ist alles was ich im blog geändert habe. (ich schreibe dort alleine, bin der einzige user, habe die kommentare abgeschaltet und habe keine udates gemacht.)
    für google musste ich einige zeit aufwenden, mich registrieren und den blog erneut überprüfen lassen. das dauerte wieder erwarten nur ein paar tage und der warnhinweis wurde entfernt.
    an dieser stelle nochmal meinen dank an alle die mir hier im forum geholfen haben.
    Tread: http://forum.wordpress-deutschland.org/netzwelten/30729-bei-google-als-gefaehrliche-seite-gesperrt.html

    wer die änderungen meiner beiträge gemacht hatte und wie konnte ich leider nicht feststellen...

    mit gruss
    Miko
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden