Merkwürdige Ziel-URLs über /wp-includes/class-wp-xmlrpc-server.php:5383

Hallo,

ich hoffe, dass ich hier im Unterforum richtig bin - so richtig was passendes habe ich nicht gefunden - und die Suche im Forum bzw. im Web bringen mich auch nicht weiter. Ich habe die Hoffnung, dass jemand aus der Community da vielleicht eine zündende Idee hat.

Problem: kurz und knackig

Ich betreibe einen Blog mit WordPress 3.5.1 und dem Standard-Theme "WordPress Default"

Vor ein paar Tagen hat Sergej Müller sein Plug-In Snitch herausgebracht, mit dem man ausgehende Verbindungen des Blogs protokollieren kann. Und seit dem brennt hier die Hütte.

Aus der WordPress: Core-Datei
/wp-includes/class-wp-xmlrpc-server.php:5383

(5383 ist die Zeilennummer)

werden Zugriffsversuche auf diverse Webseiten (von P...enhancern über driverdetectiveregistriration.com bis zu Juwelen und Schmuckseiten) protokolliert. Hier mal ein Auszug aus einer kurzen Session.


Ich habe die ausgehenden Verbindungen blockieren lassen. Nun hatte ich den Verdacht, dass mein Blog oder ein Theme vielleicht gehackt sei.

Daher habe ich die Themes-Dateien mit dem Plugin AntiVirus von Sergej Müller sowie den Blog mit externen Tools prüfen lassen - wird als sauber gemeldet.

Dann hatte ich den Verdacht, dass eventuell ein Plug-In verantwortlich sei. Alle Plugins für eine gewisse Zeit deaktiviert - die Einträge kommen weiter.

Ich habe alle Blog-Beiträge auf Script-Einträge durchforstet und diese entfernt (die stammten von mir, da ich mal Google Adsense manuell in einige Seiten eingebunden hatte.

Hat nichts genutzt. Kommentare gebe ich manuell frei - so dass ich da auch keine Eingriffsmöglichkeit sehe.

Um eine manipulierte php-Datei auszuschließen, habe ich die WordPress 3.5.1-Installation zwei mal neu installieren lassen - der PHP-Code von class-wp-amlrpc-serve.php ist identisch. Gehe ich die php-Dateien im FTP-Client durch, haben diese wohl auch das Datum des Upgrades auf WP 3.5.1.

Ich bin nun ziemlich ratlos, was ich noch unternehmen kann. PHP-Kenntnisse sind nicht wirklich vorhanden - aber wenn irgendwo etwas eingebaut werden könnte, um so eine Art Trace-Funktion zu schaffen, mit der sich der Ursprung des Calls ermitteln ließe, würde ich schon in den Code reinfummeln können.

Mich treiben insbesondere folgende Fragen um:

- was bezweckt der Initiator der betreffenden Links eigentlich - hat da jemand eine Idee?
mir drängt sich nur der Gedanke auf, dass WP-Installationen als Spam-Schleuder missbraucht werden, um Kommentarspam in anderen Blogs unterzubringen.
- können die Aufrufe von außerhalb erfolgen (da die XMLRPC-Schnittstelle ja auch zum Publishing mit Clients genutzt wird)

- wo könnte ich eventuell noch ansetzen, um der Ursache auf die Spur zu kommen.

Wäre für Tipps echt dankbar - denn scheinbar ist das Thema noch recht neu. Der Plug-Entwickler Sergej Müller hat von dem Problem noch nichts gehört und im Web finde ich auch nichts. Lasse ich im eigenen Blog nach den blockierten URLs suchen (Google site search), ist da nix. Aber Google meldet mir bei anderen Sites (manche Blogs) entsprechende Treffer - wo dann die Links als Kommentar oder ähnliches findet.

Ok, sorry, ist etwas länglich geworden. Vielleicht hilft mir das Wissen der Forenmitglieder, um da auf einen grünen Zweig zu kommen.

Danke

 

Hat sich erledigt. Ich habe verpennt, in meine Log-Dateien zu schauen. Da konnte ich eindeutig sehen, dass die ominösen Links von Spammern herrühren, die Trackbacks und Kommentare als Spam im Blog verewigen möchten.

 

Sorry, dass ich mich nicht mehr gemeldet habe - hier tobt leider der Bär auf anderen Hochzeiten.

Ich habe das Thema mal heute Nacht in einen Blog-Beitrag gegossen. Vielleicht können die WP- bzw. php-Profis da mehr mit anfangen. Aber in class-wp-xmlrpc-server.php was rauslöschen, geht nicht, wenn man nicht auf Trackbacks verzichten will. Zudem muss man dann das ja immer mit jedem WP-Update nachziehen - mein danke.

Das andere Problem, über .htaccess die IP-Adressen der Spammer blocken, dürfte auch abendfüllend werden - ich hab's in einem Kommentarnachtrag im Blog thematisiert. Falls ihr noch weitere Ideen/Tipps habt, für Kommentarnachträge im Blog oder ggf. hier bin ich dankbar - denn scheinbar bin ich der Erste, dem das dediziert aufgefallen ist.