Spam in der Tagübersichtsseite? Was zum...

Ich wundere mich schon seit einigen Stunden wieso ich überall Casino und sonstigen Spam bei mir in der Seite sehe, habe ich dann gerade mal geschaut was Google über mich weiss hab ich dann mal folgendes entdeckt:

SPAM im Theme.
Ich nutze das "pixeled" theme (in stark abgewandelter Form) und arbeite auch mit Tags. Nun habe ich entdeckt auf jeder "Tag Übersichtsseite" befindet sich an vorderster Stelle:

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Jemand eine Idee wie ich das los werde? Ich finde keinerlei Anhaltspunkt. Und ausserdem ist das schon echt n Hammer!

Edit: Scheinbar auch in Einzel Artikelseiten... WTF!!

 

Ist die aktuelle 2.7DE (von dieser Seite)
Das Theme kommt von Hi, I'm Sam - this is my website
war auf der seite dort aber im quelltext alles in ordnung.
war dann auf der wordpress seite (WordPress › Pixeled WordPress Themes) des Themes. Dort konnte ich allerdings keinen blick in den Quellcode werfen.

Ein Blick: Dropular.net - Open Beta | Florenz Heldermann
quelltext, direkt am anfang des bodys.

 

Nein, alles frisch installiert. Direkt ohne Update.
Die Header.php ist auch sauber.
Finde auch in den anderen Dateien nichts dergleichen.

Was mir allerdings gerade aufgefallen ist. Ich habe 12 Posts. Sollte da nicht die Post ID des letzten Posts so auch ca. bei 12 sein? Und nicht bei 234?

Zur Sicherheit erstmal das admin passwort ändern.

 

Ah okay, das wusste ich nicht, habe erst kürzlich 2.7 installiert.
Ja, das ist normal. Die zweite Adresse No-wow.de gehört auch zu mir und ist mein Hauptserver für alle Webprojekte und Studieninhalte.

Ich habe gerade auch die Datenbank durchsucht, allerdings auch dort nichts dergleichen gefunden, jedenfalls nicht auf den ersten Blick und die WP Database ist mehr als umfangreich.

 

HAB ES!!!!!!!!!
FLICKR THUMBNAIL PHOTOSTREAM
AAaaaaaargh!!!!

Werde jetzt mal weiter Stück für Stück die Plugins aktivieren, aber DARAN scheint es gelegen zu haben.
Ich wüsste jetzt ja echt zu gerne wo ich das runtergeladen habe, leider schon einige Zeit her. Kann leider nicht mehr sagen ob es wirklich diese Seite dort oben war.

Ich danke dir vielmals für die Hilfe in der Nacht!

 

zu früh gefreut, es ist wieder da. bzw. es war nicht weg.
nur bei der kategorie ansicht ist es verschwunden.
klasse. nochmal die plugins deaktivieren, meld mich später.

 

The TTFtitle
shit - das brauchte ich wirklich...

 

Ich glaub ich bin zu blöd.
Nun dachte ich ich hätte ihn, taucht er mit den aktivieren der anderen plugins wieder auf.

 

Okay okay, ich hab es jetzt schon oft gesagt und ich mach es noch einmal

Ich hab den Bastard.
EXEC-PHP
Plugin für die Verarbeitung von PHP Code in den Posts.

Aber ich wart noch mal ein paar Stunden bevor ich jetzt ne neue Party schmeisse.

Aber falls wer ne Alternative weiss, immer her damit!

Edit:
Hat sich erledigt. Hab gerade mal mutigerweise 6 Plugins auf einmal aktiviert. Und es ist wieder aufgetaucht.

Edit2:
Waren scheinbar mehrere "infizierte" Plugins.
- Flickr Thumbnail Photostream
- PHP exec
- TTF Title

und ich hab so ein Gefühl ich hab da morgen noch ein paar.

 

Und es ist wieder da.
Das ist der Moment wo ich jetzt wirklich Hilfe gebrauchen könnte.

 

Hab ich gemacht, alles gelöscht und neuinstalliert. Aber inzwischen glaub ich nicht mehr an "plugins".

Habe gerade den CSS Code gegooglet und gleich Unmengen an Webseiten mit dem selben Problem gefunden. Dabei auf diesem Beitrag gestoßen.

Mal sehen was dabei rauskommt.

 

So, eben eine kleine Rückmeldung - etwas spät, hab mir Kaffee übers MacBook geschüttet und Tastatur hat 2 Tage ein Eigenleben geführt.

Hab die Dateien gefunden, waren im Theme (K2) bei einer anderen Wordpress Installation versteckt, welche kurioserweise dieses Theme nicht angegriffen haben (war 2.6.2).

Alles gelöscht und alle Plugin Dateien mit dem "eval64" code gelöscht.
Echt n krasses Ding, aber vielleicht findet jemand anderes diesen Beitrag dem dann etwas schneller geholfen werden kann.

Gruss!