1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wurde ich gehackt? wp-config.php ist verändert und Fehlermeldung

Dieses Thema im Forum "Installation" wurde erstellt von freudenhaus, 18. Juli 2014.

  1. freudenhaus

    freudenhaus Well-Known Member

    Registriert seit:
    29. Oktober 2007
    Beiträge:
    339
    Zustimmungen:
    0
    Hallo,

    ich habe die Befürchtung, dass meine Seite gehackt wurde.
    Ich kann sie leider nicht mehr aufrufen, weil diese Fehlermeldung erscheint:

    Parse error: syntax error, unexpected end of file in /home/www/seite/wp-includes/pluggable.php on line 292

    Dazu ist mir aufgefallen, dass meiner wp-config jede Menge wirre Zeichen vorangesetzt wurden:

    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
     
  2. gericoach

    gericoach Well-Known Member

    Registriert seit:
    12. August 2008
    Beiträge:
    7.193
    Zustimmungen:
    0
    hol sie dir via ftp oder knall eine original datei drüber. anschließend das übliche prozedere: passwörter austauschen, KEINEN Benutzer "admin", rest der seiten scannen mit anti-malware plugin
     
  3. freudenhaus

    freudenhaus Well-Known Member

    Registriert seit:
    29. Oktober 2007
    Beiträge:
    339
    Zustimmungen:
    0
    Mir ist gerade aufgefallen, dass jeder Datei dieses zeug vorgesetzt wurde.
    Ich werde dann wohl alles ersetzten müssen.

    Die Datenbank muss ich dann wohl auchh ersetzen, oder?
     
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Hast du eine Du eine Datensicherung? Evtl. bei deinem provider? dann verwende eine ältere Version von deiner Datenbank.

    Problem sollte eher sein - wie konnte jemand deine Seiten verändern! D.h. du musst die Sicherheitslücke suchen und finden und dann beseitigen. Beim Suchen und beseitigen können dir Dienstleister evtl. helfen, die du über das Job Forum finden könntest.

    Mal ein raten von mir, dein Template verwendet eine upload Script oder TimThumb?
    http://pressengers.de/news/erneute-sicherheitsluecke-bei-timthumb/
     
  5. iwenzo

    iwenzo Member

    Registriert seit:
    18. Juli 2014
    Beiträge:
    15
    Zustimmungen:
    0
    HI,

    bei uns waren alle Verzeichnisse betroffen vom WP-Core bis zum Template und den Uploads (wir hatten JS Datein mit dem Uploader hochgeladen).
    Bei unserem Check war teilweise in den Contentelementen noch JS elemente. Hier kann man einfach in der Datenbank mit LIKE %script% ( ggf. andere Schreibweisen) direkt prüfen.
     
  6. Bremmo

    Bremmo Member

    Registriert seit:
    5. August 2013
    Beiträge:
    9
    Zustimmungen:
    0
    Mich hat auch der gleiche Angriff erwischt. Gleich auf drei Blogs und Piwik und Owncloud. Es wurden einfach alle php-Dateien infiziert. Ich konnte jedoch noch keine Schwachstelle ausmachen. Hab jetzt erstmal ftp und ssh-Zugriff vorsorglich komplett dicht gemacht. Mal sehen ob morgen wieder Ruhe ist.

    Es ist scheinbar ein Problem, das seit 3.9.1 auftritt.

    Siehe auch http://www.sascha-endlicher.de/uncategorized/warning-there-is-a-0-day-csrf-exploit-in-the-wild-it-is-used-to-attack-wordpress-v3-9-1-sites/

    und

    http://www.sascha-endlicher.de/uncategorized/warning-there-is-a-0-day-csrf-exploit-in-the-wild-it-is-used-to-attack-wordpress-v3-9-1-sites/
     
    #6 Bremmo, 23. Juli 2014
    Zuletzt bearbeitet: 23. Juli 2014
  7. Bremmo

    Bremmo Member

    Registriert seit:
    5. August 2013
    Beiträge:
    9
    Zustimmungen:
    0
  8. Bremmo

    Bremmo Member

    Registriert seit:
    5. August 2013
    Beiträge:
    9
    Zustimmungen:
    0
    Sorry, dass ich nochmal schreibe, aber ich bin jetzt einfach der Sache weiter auf den Grund gegangen. Habe jetzt noch die Datenbanken der Blogs durchforstet und bin darauf gestoßen, dass in den Tabellen wp_user und wp_usermeta ein Nutzer mit folgender ID eingetragen ist: 1001001 <- der hat Administratorrechte.

    Sind insgesamt 5 Einträge vorhanden, wenn man nach 1001001 sucht.

    Wie es sich mir jetzt darstellt war bei mir zumindest das Einfallstor der Ordner /wp-content/uploads/wysija/themes/mailp/

    Dort wurde scheinbar eine php-Datei index.php reingeladen, die dann alles weitere veranlasst hat.

    Soweit ich das sehe gehört der ganze Ordner da gar nicht rein.

    So, ich verspreche jetzt keinen Vierfachpost zu erzeugen, weil ich längstens schon im Bett sein müsste.

    Greetz & over
     
    #8 Bremmo, 23. Juli 2014
    Zuletzt bearbeitet: 23. Juli 2014
  9. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    In das Verzeichnis
    ~/wp-content/uploads/

    kopiert Wordpress die Medien (pdfs, und die Bilder) einige Plugins legen hier in eigenen Verzeichnisen etwas ab.

    d.h. Wordpress hat in diesem Verzeichnis per se schreibrechte. Von diesem Recht wissen auch deine Angreifer.

    D.h. du musst verhindern, dass hochgeladene Scripte (perl. php. ruby.. was weiß ich, was alles bei dir läuft) dort ausgeführt dürfen.
    http://example.org/wp-content/uploads/_dein_script.php darf nicht funktionieren!

    Dein Angreifer hat sich also ein Admin Account eingerichtet? Du kannst keiner Datei (auch keinen Bildern!) mehr trauen.

    Sicherheitslücke kann auch ein uplaod Script in einem Theme oder einem Plugin sein.

    hier eine aktuelle Liste von Sicherheitslücken
    http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=wordpress

    Viel Glück

    ralf
     
  10. Bremmo

    Bremmo Member

    Registriert seit:
    5. August 2013
    Beiträge:
    9
    Zustimmungen:
    0
    Danke Ralf,

    ich habe jetzt zur Sicherheit mal das Ausführen von php im Upload-Ordner geblockt via .htaccess:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Bin aber zuversichtlich, dass jetzt Ruhe ist. Meine Blogs wurden diese Nacht zum ersten mal seit 17.07. nicht wieder kompromitiert.
     
  11. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    kein Perl auf dem Server?

    und funktioniert dein Filematch so wirklich? sieht merkwürdig aus... ich verwende in der Regel <Files

    und bei \.php$

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
     
  12. Bremmo

    Bremmo Member

    Registriert seit:
    5. August 2013
    Beiträge:
    9
    Zustimmungen:
    0
    Ja das funktioniert tatsächlich so bei mir :)

    Kannst ja mal testen: http://www.e-poetry.de/wp-content/uploads/wysija/test.php

    Ich schwöre feierlich, dass die Datei existiert :)

    Von Perl hab ich jetzt keinen Schimmer ehrlichgesagt. Braucht man dazu nicht CGI? Hat meines Wissen nach mein Hoster Strato abgestellt.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden