Seite gehackt ?

Hallo,

Datenbank zurücksichern. Die Log-Files auf unregelmäßigkeiten untersuchen.
Sicherheitslücke suchen und schliessen. Wenn du diese nicht selber finden kannst - jemanden mit der Suche beauftragen (wink mit dem zaunpfahl)

Aktuelle WP Version installieren
Nicht verwendete Pluigns löschen
Spam - Kommentare löschen
WP - Admin bereich schützen
Standard User (z.b. User admin) - löschen
Datenbank prefix verwenden.

Viel Glück

ralf

 

Hört sich stark nach einer iFrame-Injection an. Mögliche Ursache ist hier ein Trojaner, der auf deinem Rechner FTP-Daten ausgespäht hat. Wichtigste Vorsichtsmaßnahme ist hier, dringend die FTP-Daten zu ändern (Nutzername und Passwort), da sonst immer wieder der iFrame an die index.php gehängt wird.

Das Ändern der FTP-Daten sollte dabei eigentlich genügen. Und natürlich die Entfernung des entsprechenden Trojaners (frag mich nicht, wie, weil ich leider kein Systemadmin bin und mich auch mit Windows nicht wirklich auskenne).

Also: ändere bitte ganz ganz dringend und schnell die FTP-Daten für deinen Server (oder dein Hostingpaket).

Edit: Am besten ist es natürlich, wenn Du die FTP-Daten _nicht_ an deinem noch infizierten Rechner änderst, sondern von einem anderen (hoffentlich sauberen) Rechner aus. Oder natürlich einfach nach Bereinigung deines Rechners.

 

Marcus hat recht, es scheint ein IFrame-Injection zu sein, ich hatte im vergangenen Jahr meine Bekanntschaft damit gemacht. Zu beachten wäre, dass der Eindringling nicht zwingend auf Deinem Rechner sein muss (wobei als erste Massnahme ein Check des eigenen Rechners mit topaktuellem Virenscanner trotzdem unerlässlich ist).

Hier kurz zusammengefasst meine sonstigen Beobachtungen:

Du kannst problemlos die Dateirechte sämtlicher index.php (auch diejenigen in plugins und themes) auf 444 setzen, nachdem Du die schadhaften Zeilen entfernt hast;

überprüfe auch alle Javascripts und Stylesheets, nach meiner Erfahrung können diese in einer zweiten Infektionswelle auch befallen werden

gebe in den FTP-Client die Zugangsdaten jedesmal manuell ein und speichere sie nicht ab (Stichwort FileZilla Servermanager). Lösche nach Trennen der FTP-Verbindung jedesmal die persönlichen Datren im FTP-Client vor dem Schliessen (in FileZilla ist es unter Bearbeiten -> Persönliche Daten löschen...).

informiere auch Deinen Webhoster, denn ich habe gelesen, dass die Verbreitung des Schadcodes und die entsprechenden Schwachstellen sich auch direkt auf dem Server erfolgen können. Wenn Du ein shared hosting Paket hast, frage an, ob der Hoster bereit ist, Deine Präsenz auf einen anderen Server zu legen.

Nach meinen Erkenntnissen erkennt der Virus, dass er "aufgeflogen" ist und stellt seine Tätigkeit nach ein paar erfolglosen Versuchen, Deine Dateien erneut zu infizieren, ein. Ich konnte zum Beispiel sehen, dass die Versuche täglich etwa zur selben Zeit stattgefunden haben, und als ich die Schreibrechte entzog, war nach 24 Stunden Ruhe.

Ausserdem: eine Infizierung fand innerhalb einer Ordnerstruktur nur in den obersten beiden Ebenen statt, also Ordner/Unterordner/Unterordner wurde in der untersten Ebene nicht mehr infiziert (immer ausgehend vom Root Deiner Installation - kann, muss aber nicht sein)

LG Domi

 

Hi,

ich habe dasselbe Problem. Aufgeflogen ist die Kiste, da die Seite aufgrund der fehlerhaften iFrames nicht mehr funktionierte. Ganz schlauer Hack...

System: Wordpress, aktuelle 3.0.4 mit 5 Plugins in den jeweils aktuellsten Versionen
Ich habe mittlerweile alles gemacht: Passwörter geändert (FTP, Confixx, Wordpress-Admin), alle Dateien neu hochgeladen, alle Free-Themes entfernt und das WP Standard-Theme verwendet etc. Trotzdem ist die Seite am 31.01. wieder gehackt worden.

Die FTP-Zugangsdaten können bei mir kaum abgegriffen worden sein, sonst wären wesentlich mehr Webseiten betroffen. Und direkt neben der betroffenen WP-Installation liegt eine zweite im Webpaket, die sauber ist.

Im Moment säubere ich also wieder den Webspace und bin gespannt, ob der Hack wieder kommt... Bin schon mal den Tipps hier gefolgt und habe alle index.php auf 444 umgestellt. Und außerdem mal den Hoster informiert - bislang dachte ich, die Infiltration wäre über ein Freetheme geschehen und hatte den Provider deshalb gar nicht erst informiert.

 

Das muss nichts heißen.

Benutzt Du Filezilla? Schau mal hier: http://www.blogdot.de/280/site-hacked-iframe-src-zxstats-or-bali-planet-com-script-var-zaee/

Einen Thread zu dem Bali-Gedöns gab es hier schonmal: http://forum.wordpress-deutschland.org/allgemeines/81569-malware-angriff-auf-wordpress-blogs-aktuell.html

 

Danke für die Hinweise, ich mach im anderen Thread weiter.