1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Spam im Header wird man nicht los

Dieses Thema im Forum "Konfiguration" wurde erstellt von ruthschell, 27. Juni 2013.

  1. ruthschell

    ruthschell Well-Known Member

    Registriert seit:
    3. Mai 2007
    Beiträge:
    101
    Zustimmungen:
    0
    Hallo,

    ich wurde gebeten zu helfen, komme aber nicht weiter.

    Im Header erscheint Spamcode. Ziel: vermutlich "Suchmaschinenobtimierung". Bei eingeschalteten Javascript sieht der User nichts. Nur beim deaktivierten Script sieht man den Spam und Google indexiert.

    Alle Templatedateien sind mehrere Jahre alt 5 oder 6 (es war mal ein kommerzielles Theme). Trotzdem untersucht, kein Code entdeckt. Alle Plugin deaktiviert, der Spamcode erscheint trotzdem.

    Der Code besteht aus etwas JavaScript, die erste Zeile lautet: var _gw3 = [];
    _gw3.push(['_setOption',
    '1301851861911781711021861911821711311041861711901861171']);

    Und im Body-Bereich mit <div class="siteview2"><p>Opt for immediate resolution ...

    sucht man nach Opt for immediate resolution werden einige betroffene Seiten angezeigt. Sie haben gemeinsames: WordPress und sie GoDaddy ist der Hoster.

    Kennt jemand das Problem? Oder sogar eine Lösung??

    Die Zugänge Admin und Benutzer sind relativ gut gesichert. Name mit Sonderzeichen, Password 20 Zeichen, Sonder, Klein, Gross, Ziffern.
     
    #1 ruthschell, 27. Juni 2013
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.348
    Zustimmungen:
    588
    Evtl. würde die Datenbank geändert
    http://de.wikipedia.org/wiki/SQL-Injection

    Wenn die verwendete Wordpress Version _alt_ ist, kann die Veränderung auch an den Scripten selbst durchgeführt worden sein.

    Gibt des Benutzer admin mit der ID = 1 ?

    In der Regel legen Angreifer sich scripte in ein schreibbares und lesbares Verzeichnis und ändern von dort zum Beispiel
    ~/wp-settings.php
    ~/admin/upgrade.php (damit bei zukünftigen upgrades auch ja der Scahdcode erneut installiert wird.

    Du kannst in der Regel keiner Datei mehr vertauen und der Code kann codiert (zum Beispiel base64-kodierte Daten)
    http://php.net/manual/de/function.base64-decode.php

    Es gibt hier ein Job Forum.

    cu

    ralf
     
    #2 r23, 28. Juni 2013
  3. ruthschell

    ruthschell Well-Known Member

    Registriert seit:
    3. Mai 2007
    Beiträge:
    101
    Zustimmungen:
    0
    Eher nicht, bis jetzt nichts entdeckt.

    Nicht die WP-Installation, sondern das Template ist älter. WP ist auf dem neusten Stand.

    Nein

    Nichts dergelichen.

    Das ist hier bekannt und wurde selbstverständlich überprüft.

    Und? Das beantwortet nicht meine Frage. Das ganze scheint recht frisch zu sein und betrifft vermutlich nur Installationen bei GoDaddy.

    Nochmal ein Eindringen über schwache Passwörter ist kaum möglich. Benutzernamen admin gibt es nicht. Name ist ein Kombination von Buchstaben und Sonderzeichen. Passwörter sind lang und bestehen aus einer Kombination von Buchstaben, zahlen und Sonderzeichen.

    Es ist das Plugin Limit Login Attempts aktiv. Es gibts nur ein Anmeldeversuch, dann wird die IP gesperrt für 999 Stunden.
     
    #3 ruthschell, 28. Juni 2013
    Zuletzt bearbeitet: 28. Juni 2013
  4. ruthschell

    ruthschell Well-Known Member

    Registriert seit:
    3. Mai 2007
    Beiträge:
    101
    Zustimmungen:
    0
    Der Spammist wurde nicht im Template und nicht in Wordpress plaziert. Er wird nachdem die Seite generiert wurde eingefügt. Der Wordpressbenutzer hat nur begrenzte Möglichkeiten.

    Wir haben eine vorübergehende Lösung gefunden. Da der Code zwischen </head> und </body> eingeschleusst wird, haben wir einfach

    mit </head><!-- <body <!-- > --> </head> <body> </head><body> ersetzt.

    Derzeit scheinen nur Installationen bei Godaddy betroffen zu sein.
     
    #4 ruthschell, 29. Juni 2013
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden