1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Hilfe Backend fehlerhaft und Plugins alle weg

Dieses Thema im Forum "Allgemeines" wurde erstellt von lilu24, 11. Juni 2013.

  1. lilu24

    lilu24 Well-Known Member

    Registriert seit:
    5. Mai 2009
    Beiträge:
    112
    Zustimmungen:
    0
    Hallo

    Heute musste ich feststellen, dass bei allen meinen Blogs eines Webpaketes die Backends nicht richtig dargestellt werden. Zudem wurden alle Plugins deaktiviert wegen eines validen Headers. Gemacht wurden von unserer Seite nichts.

    Kann mir jemand helfen?

    Bei der Installation des Plugin
    Use Google Libraries passt zwar die Darstellung wieder, aber die Plugins bleiben verschwunden, obwohl diese noch im Ordner per FTP zu sehen sind.

    Viele Grüße Andy
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Ihr habt zurzeit leider ein Sicherheitsproblem zumindest wollte mir dein Blog etwas installieren

    http://blog.r23.de/images/blog_lilu.png
     
    #2 r23, 12. Juni 2013
    Zuletzt bearbeitet: 12. Juni 2013
  3. lilu24

    lilu24 Well-Known Member

    Registriert seit:
    5. Mai 2009
    Beiträge:
    112
    Zustimmungen:
    0
    Ok, das sollte aber nicht das Problem sein.

    Sind auch andere Blogs betroffen wie sicherheitimfokus.de
     
  4. borusse

    borusse Gast

    Wenn das nicht gewollt von dir ist das Besuchern was installiert wird, sollte das aber schon das Problem sein. Gehackt wurden eventuell?
     
  5. lilu24

    lilu24 Well-Known Member

    Registriert seit:
    5. Mai 2009
    Beiträge:
    112
    Zustimmungen:
    0
    Kann alles sein, aber wie gesagt es sind ja noch mehrere Domains des selben Paketes betroffen wie lilu24.de, sicherheitimfokus.de, Tages-aktuell.de,...

    Alle haben den selben Fehler. Bei mir kommt leider diese Fehlermeldung nicht
     
  6. storm-rider

    storm-rider Member

    Registriert seit:
    1. September 2011
    Beiträge:
    11
    Zustimmungen:
    0
    hallo,

    ich klick mich hier mal mit ein, hoffe ich bin richtig. mein wordpress sieht seid neuestem so aus:

    backend.JPG

    ich kapier das nicht, das is bei allen meinen seiten... was is da passiert??

    danke für eure hilfe
     
  7. gericoach

    gericoach Well-Known Member

    Registriert seit:
    12. August 2008
    Beiträge:
    7.193
    Zustimmungen:
    0
    @Storm-rider:
    nee, biste nicht. Bitte verwässere nicht den eigentlichen Thread, sonst gibt es mixed answers und zuletzt ist das eigentliche Problem hinten an.

    @TE: entferne erstmal das von r23 angesprochene Problem, scheint nicht ganz koscher zu sein.

    @r23: welches Tool hat Dich da gewarnt?
     
    #7 gericoach, 12. Juni 2013
    Zuletzt bearbeitet: 12. Juni 2013
  8. rekloV

    rekloV Well-Known Member

    Registriert seit:
    19. Juni 2010
    Beiträge:
    238
    Zustimmungen:
    0
    Tja, ihr habt euch was eingefangen. das kannst du jetzt negieren, oder drauf reagieren...
     
  9. lilu24

    lilu24 Well-Known Member

    Registriert seit:
    5. Mai 2009
    Beiträge:
    112
    Zustimmungen:
    0
    Jetzt bin ich etwas weiter. Alle Seiten scheinen Schadecode zu haben.

    Immer am Ende ist zu lesen "silence is golden". Hat jemand ein Tool wie man die PHP Dateien von diesem Code befreien kann?
     
  10. lilu24

    lilu24 Well-Known Member

    Registriert seit:
    5. Mai 2009
    Beiträge:
    112
    Zustimmungen:
    0
    Du scheinst den gleichen Fehler wie ich zu haben. So sieht es auch bei mir aus. Sind die Plugins noch da?

    Schau mal ob du in den PHP Dateien gleich am Anfang Schadcode findest?!
     
  11. rekloV

    rekloV Well-Known Member

    Registriert seit:
    19. Juni 2010
    Beiträge:
    238
    Zustimmungen:
    0
    Überraschung! Aber das hat auf keinen Fall was mit Deinem Ausgangsproblem zu tun...
     
    #11 rekloV, 12. Juni 2013
    Zuletzt bearbeitet: 12. Juni 2013
  12. gericoach

    gericoach Well-Known Member

    Registriert seit:
    12. August 2008
    Beiträge:
    7.193
    Zustimmungen:
    0
  13. formateins

    formateins Gast

    Der Schadcode repliziert sich gerne weiter, von daher rate ich Euch, Wordpress komplett neu aufzusetzen. Datenbankbackup machen (NICHT über Wordpress!), Dateien sichern (uploads) und das Theme NICHT mitsichern! Finger weg von den PHP-Dateien.

    Alternativ (mehr Aufwand):
    Installation komplett lokal runterladen und mit einem Tool (ich bin Total Commander-User) alle Dateien im Text nach "base64_decode" durchsuchen.

    Das Kind ist richtig interessant - die infizierten Blogs stöpseln sich selber als Referenz gegenseitig!

    Dummerweise kursiert der Mist schon seit mehreren Jahren durch die Landschaft... :(

    Nachtrag:
    Habe den Code grade mal lokal ausgeführt. Das Würmchen legt folgende index.php-Dateien an (kann je nach Anzahl Plugins sicherlich etwas variieren):

    /wp-admin/includes/plugin.php (Ergänzung in Zeile 337)
    /wp-content/index.php
    /wp-content/plugins/askimet/index.php
    /wp-content/plugins/index.php
    /wp-content/themes/index.php

    Der Code klappert dabei alle Verzeichnisse durch.
     
    #13 formateins, 12. Juni 2013
    Zuletzt von einem Moderator bearbeitet: 12. Juni 2013
  14. lilu24

    lilu24 Well-Known Member

    Registriert seit:
    5. Mai 2009
    Beiträge:
    112
    Zustimmungen:
    0
  15. lilu24

    lilu24 Well-Known Member

    Registriert seit:
    5. Mai 2009
    Beiträge:
    112
    Zustimmungen:
    0
    Gibt es auch ein Tool welches den Schadecode löscht. In fast allen Dateien ist dieser zu finden und alle händisch zu löschen wäre unmöglich.

    Noch kurz einen Hinweis zu deinem Nachtrag. Leider legt sich der Code auch in bestehende PHP Dateien. Bei mir ist er in fast allen zu finden. Sogar in der wp-config.php und weiteren.

     
    #15 lilu24, 12. Juni 2013
    Zuletzt bearbeitet: 12. Juni 2013
  16. formateins

    formateins Gast

    Nicht wirklich.

    Das Skript macht nur die Initialarbeit und öffnet die Haustüre. Habe grade mal 3 Blogs in 3 Verzeichnissen installiert plus je 1 modx- und Typo3-System. Betrifft nur Wordpress-Verzeichnisse und im ersten Step obige Dateien. Den nächsten Step lasse ich mal (keine Lust eine VM aufzusetzen).

    Passiert übrigens nur, wenn der Apache Schreibrechte hat. Empfehlung: Schreibrechte entfernen und Plugins/Themes per FTP hochladen.

    PS: woocommerce ist auch betroffen (sofern vorhanden).

    PPS: Ja, wie oben erwähnt. Wenn der Schadcode dann erstmal durch die Haustüre rein ist, wird alles in Beschlag genommen. Ich würde an der Stelle keinem Plugin vertrauen, dass den Wordpress-Core bereinigt...

    PPPS: Wenns Dir nix ausmacht, schick mir mal bitte eine beliebige befallende Datei per Mail an querdenker73@gmail.com. Danke!
     
    #16 formateins, 12. Juni 2013
    Zuletzt von einem Moderator bearbeitet: 12. Juni 2013
  17. lilu24

    lilu24 Well-Known Member

    Registriert seit:
    5. Mai 2009
    Beiträge:
    112
    Zustimmungen:
    0

    Hast Post! --- Danke

    Wie entferne ich die Schreibrechte auf dem Apache? Macht dies der Provider?
     
  18. formateins

    formateins Gast

    Danke für das File. Hier ein entsprechender Artikel zu dem Thema:
    http://www.justbeck.com/zend_framework-wordpress-hacks/


    Wenn Du nur einen Webspace hast, kannst Du auf die oberste Ebene im FTP-Programm gehen, alle Dateien markieren und per Rechtsklick die Dateieigenschaften setzen. Entziehe bei den beiden rechten Optionen (es sollten 3 sein) jeweils das Schreibrecht. Das Ganze dann rekursiv.

    Funktioniert aber nur dann, wenn die Gruppen und Benutzer korrekt gesetzt sind.

    Weiterhin muss überprüft werden, ob der Benutzer des Webservers (in der Regel www-data) irgendwo als BESITZER bei einer PHP-Datei vorhanden ist. Diese sollte man dann auf den FTP-Benutzer ändern.

    Ich bleib trotzdem dabei: Platt machen, neu installieren und alles per FTP regeln.

    Ich hätte jetzt wirklich gern ein Unterforum "Sicherheitsfragen"... ;)
     
  19. formateins

    formateins Gast

  20. formateins

    formateins Gast

  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden