1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

SQL Injection in Wordpress 2.8.6?

Dieses Thema im Forum "Allgemeines" wurde erstellt von webevolutionfh, 17. Dezember 2009.

Schlagworte:
  1. webevolutionfh

    webevolutionfh Member

    Registriert seit:
    17. Dezember 2009
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo Wordpress Gemeinde,

    vor kurzem wurde ein Blog, den ich noch unter 2.3.3 betrieben habe gehackt.
    Da ich tägliche Backups mache, konnte ich ein Backup der Datenbank einspielen und die Verschandelung war weg.

    Als das dann wieder aufgetreten ist, habe ich ein Update auf V. 2.8.6 durchgeführt:.
    Dateien löschen (außer wp-config.php, .htaccess und Verzeichnis: wp-content),
    Datenbank alle Tabellen löschen,
    Dump der sauberen Datenbank einspielen,
    Neue Wordpress Dateien einspielen

    lief soweit alles prima bis ich heute gesehen habe, dass der Mist wieder drin ist:
    Seht selber: http://www.stein-des-anstosses.de/
    Die komischen Links oben links in der Ecke.

    Ich bitte dringend um Hilfe

    viele Grüße
    Frank Hofmann
     
    #1 webevolutionfh, 17. Dezember 2009
  2. webevolutionfh

    webevolutionfh Member

    Registriert seit:
    17. Dezember 2009
    Beiträge:
    7
    Zustimmungen:
    0
    Noch eine Ergänzug

    Ich habe mir eben einen SQL Dump gezogen und durchsucht, ob ich irgendwo die Texte finde, die da nicht hingehören - hab ich nicht gefunden.

    Aber ich habe ein Javascript gefunden:
    <script src="http://eu-pn4.adserver.yahoo.com/a?f=2023893427&amp;pn=sz&amp;p=sz-kultur&amp;c=r&amp;l=CAD&amp;pd_id=ac141585sxhJdJ7ulwlXDgrqSx.S"

    kennt das jemand? Das kann doch nicht wirklich von yahoo kommen

    Gruß
    Frank
     
    #2 webevolutionfh, 17. Dezember 2009
  3. Bambaataa

    Bambaataa Well-Known Member
    Ehrenmitglied

    Registriert seit:
    17. Mai 2009
    Beiträge:
    2.483
    Zustimmungen:
    12
    Plugins, Themes ... es kann alles sein was das einschleust. Sicher das Dein Datenbank Backup sauber ist? Sicher das es kein Theme oder Plugin ist?
     
    #3 Bambaataa, 17. Dezember 2009
  4. webevolutionfh

    webevolutionfh Member

    Registriert seit:
    17. Dezember 2009
    Beiträge:
    7
    Zustimmungen:
    0
    Sorry, es ist nicht die Datenbank

    Danke für die schnelle Antwort. Ich bin mir sicher, dass ich eine saubere Installation herstellen kann. Beim rumprobieren habe ich jetzt festgestellt, dass das Ding irgendwo im Dateisystem liegen muss.
    Ich lade gerade alles runter und werde dann mal eine Textsuche durch die Files starten. Dann schaue ich mir mal die Berechtigungen an.

    Hat vielleicht jemand Tipps was die Rechte im Filesystem angeht? Ich habe die Dateien einfach lokal entpackt und dann hochgeladen.

    Gruß
    Frank
     
    #4 webevolutionfh, 17. Dezember 2009
  5. webevolutionfh

    webevolutionfh Member

    Registriert seit:
    17. Dezember 2009
    Beiträge:
    7
    Zustimmungen:
    0
    Code wurde in Datei eingeschleust

    Ich habe jetzt die Datei gefunden, wo der Schadcode enthalten ist.

    Was mich wirklich irritiert, ist die Tatsache, dass die Datei die Berechtigung 604 hat.

    Gehe ich richtig in der Annahme, dass jemand schon mindestens als FTP-User auf dem Server unterwegs sein muss, um die Datei zu ändern?

    Haltet Ihr den ganzen Server für gehackt?

    Gruß
    Frank
     
    #5 webevolutionfh, 17. Dezember 2009
  6. toscho

    toscho Well-Known Member

    Registriert seit:
    4. August 2006
    Beiträge:
    631
    Zustimmungen:
    0
    Du hast die Website in der falschen Reihenfolge repariert. Das bringt nichts. Fange bei deinem Rechner an, und arbeite dich dann langsam nach außen vor.
     
    #6 toscho, 19. Dezember 2009
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden