1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Angriffe auf index.php Seiten

Dieses Thema im Forum "Allgemeines" wurde erstellt von go-seven, 28. August 2011.

  1. go-seven

    go-seven Member

    Registriert seit:
    6. März 2010
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo, ich habe mit meinem Wordpress folgendes Problem: Aus unerfindlichen Gründen werden ALLE (!!!) index.php Dateien auf meinem Webspace modifiziert. Dies ist jetzt schon zum zweiten mal passiert, und steht in keinem Zusammenhang mit Updates / Änderungen am Webserver / CMS ...

    Folgender Code wird immer eingefügt:

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Dabei variieren im Mittelteil die Zahlen.

    Kann mir IRGENDWER Informationen zu diesem Problem geben? Ich habe schon alle Passwörter (MySQL, FTP...) geändert.

    MfG Pascal
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    und die Sicherheitslücke geschlossen und alle fremden Scripte gelöscht?

    cu

    ralf
     
  3. Bambaataa

    Bambaataa Well-Known Member
    Ehrenmitglied

    Registriert seit:
    17. Mai 2009
    Beiträge:
    2.483
    Zustimmungen:
    12
    und auch Deinen Rechner mal überprüft? Manche Viren schleusen sich über den heimischen Rechner ein indem sie dort die FTP Passwörter auslesen die in Deinem FTP Programm gespeichert sind. Da nütz dann alles ändern der Passwörter nichts, wenn man sie dem Teil so gleich wieder gibt.
     
  4. go-seven

    go-seven Member

    Registriert seit:
    6. März 2010
    Beiträge:
    17
    Zustimmungen:
    0
    also ich nutze AUSSCHLIESSLICH ubuntu / linux... - damit dürfte sich die idee mit dem virus erledigt haben, oder?

    aber mal ernsthaft, kann mir jemand etwas zu diesen code sagen?

    die fremdscripts sind raus.

    @ralf welche sicherheitslücke meinst du?
     
  5. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    Da gibt es auch ganz tolle Sachen z.b.

    Rootkit
    http://de.wikipedia.org/wiki/Rootkit

    Die - mit der man auf deinem Sytem bestehende PHP-Scripte verändern darf.

    cu

    ralf
     
  6. go-seven

    go-seven Member

    Registriert seit:
    6. März 2010
    Beiträge:
    17
    Zustimmungen:
    0
    ok, ich glaube, wir reden aneinander vorbei.

    1. ich war zum zeitpunkt der dateiveränderung (24.08.2011 gegen 23:30, ab da gabs keine nutzer mehr...) im tiefschlaf --> keiner meiner rechner an.
    2. daraus lässt sich schließen, das der angriff NICHT von meinem PC aus ausgeführt wurde.

    was ich aber IMMERNOCH wissen will ist, um was für einen code es sich handelt (siche oben!) - was macht der (ausser den content ausblenden)
    und
    hatte schon mal jmd ähnliche probleme?

    und:
    wenns nicht genauer geht kann ich auf deine hilfe verzichten. das es ein sicherheitsleck gibt war mir schon klar.

    Achso: Ich ahbe mal gegooglet. es gibt noch mehr seiten, die diesen code schnipsel im quelltext haben... einige davon sind von google mit einer warnung versehen wurden von wegen " diese seite könnte ihren pc infizieren" -
     
    #6 go-seven, 28. August 2011
    Zuletzt bearbeitet: 28. August 2011
  7. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.318
    Zustimmungen:
    582
    o.k ;)

    lol

    ralf

    ps: das JavaScript wurde bereits für den TE decodiert in einem anderen Forum
     
  8. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.189
    Zustimmungen:
    16
    ach so! Ubuntu Linux ist übrigens keine Garantie, gegenüber Viren. Das finde ich immer süss! - "Ich habe Linux, mir kann nichts passieren." Errare humanum est :)
    Und warum muss Dein Rechner an sein, wenn ich ja bereits Deine Passwörter ausspioniert habe... ?

    Wenn Du weiterhin so 'flexibel' auftrittst, muss Du hier auch keine Hilfe erwarten.
     
  9. gericoach

    gericoach Well-Known Member

    Registriert seit:
    12. August 2008
    Beiträge:
    7.193
    Zustimmungen:
    0
    Diese Aussage ist nicht korrekt
    Wenn A) wie B-52 bereits bemerkte, die Passwörter klar gemacht wurden ist es schnurz, ob die Kiste läuft
    B) via PC ein Script installiert wurde, das zeitgesteuert agiert
    C) Du lediglich die Einträge in der index.php gelöscht hast, aber nicht die Ursache, bringt der ganze Heckmeck mit ändern der Zugangspasswörter nichts

    --> überprüfe den Server, ob dort z.B. htaccess Dateien erscheinen, die alle das gleiche änderungsdatum haben und in etwa die gleiche Zeit/gleiche Größe

    löse Dich mal von der Idee, dass Du es eh besser weisst. Wenn es so wäre, müsstest Du hier nicht fragen, oder? Und nie vergessen: DU brauchst Hilfe, da solltest Du nicht Helfende anfurzen, wenn Dir die Vorschläge zu banal vorkommen.
     
    #9 gericoach, 29. August 2011
    Zuletzt bearbeitet: 29. August 2011
  10. go-seven

    go-seven Member

    Registriert seit:
    6. März 2010
    Beiträge:
    17
    Zustimmungen:
    0
    ich habe nocheinmal alle daten aus meinem webspace (ich habe keinen eigenen server) analysiert. an dem tag, wurden wirklich nur die index.php dateiEN (unterverzeichnisse...) editiert.

    ich habe auch nochmal alles nach htacces datein und scripts abgesucht - nichts...
     
  11. Kerubael

    Kerubael New Member

    Registriert seit:
    2. August 2011
    Beiträge:
    3
    Zustimmungen:
    0
    Frag mal bei deinem Hoster nach den FTP Logs und schau dir an, ob zu fraglischem Zeitpunkt die betroffenen Dateien geändert wurden.
     
  12. alfredinoK

    alfredinoK Well-Known Member

    Registriert seit:
    4. April 2007
    Beiträge:
    47
    Zustimmungen:
    0
    die sind in deinem admin-bereich des blogs gewesen, dort kann man auch die index.php und einige andere editieren.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden