WordPress Blog mit Schadsoftware VIO Player befallen?!

DaGoodness · 22. Februar 2014

Ah... das Häkchen mit den fehlgeschlagenen Logins hatte ich noch nicht gesehen. Besten Dank!!

Melewo · 22. Februar 2014

Nur mal eine Frage noch, Du bist Dir auch sicher, dass die Empfehlung nicht von Facebook kommt? Sonst könntest Du die einfach mal fragen, was die in Deiner Seite verloren hat.

"https://www.facebook.com/laura.everland" Die Adresse stimmt wohl mit Deiner angegebenen aus dem Code überein, wenn Du unten rechts auf der Seite schaust.

DaGoodness · 22. Februar 2014

Also ich bin nicht bei Facebook vertreten und diese "böse" Seite wurde auf meinem Rechner auch noch nie aufgerufen :lol:

Unter dieser Domain "everland.cl" ist ja wie es aussieht irgendein Kinderspielpark oder ähnliches in Chile erreichbar. Anscheinend liegt dieses böse Script wohl irgendwo in deren Webauftritt versteckt.

Melewo · 22. Februar 2014

Ich glaube Dir beinahe alles, ich hatte nur gesucht, weil man dann oft Hinweise auf weitere gehackte Seiten findet. Fand aber nicht viel mehr, diese Seite mit *.cl wurde vermutlich auch nur gehackt und dient nun mit als Verteiler, ohne das die davon etwas ahnen.

g3h · 22. Februar 2014

Zitat von JRau: ↑

Habe ich gemerkt Habe heute die Schritte von http://codex.wordpress.org/FAQ_My_site_was_hacked erfolgreich absolviert. Nochmals besten Dank an alle.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Weiterhin sind diese Empfehlungen hilfreich:
http://codex.wordpress.org/Hardening_WordPress
http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen/

Melewo · 22. Februar 2014

Ich gehe mal davon aus, dass die Verbreitung etwas mit XML zu tun haben könnte, weil ich dazu nur XMLWriter und XML-Parser-Klassen finde.

allinurl:dtd.php

Und DTD ist ja eigentlich auch nur ein Kürzel für Document Type Definition.

http://www.w3schools.com/dtd/

Bin schon seit längerer Zeit der Meinung, nichts geht einfacher als einen verseuchten Feed auszuliefern, den alle Nutzer ohne die geringste Kontrolle, ob in CDATA sauberes HTML oder sonstiges enthalten ist, in den eigenen Seiten veröffentlichen.

mfitzen · 23. Februar 2014

Mit dem bloßen Entfernen des Codes aus der header.php dürfte das Problem jedoch nicht behoben sein. Meistens sind in anderen Dateien ebenfalls Änderungen vorgenommen worden... Das solltet ihr genau prüfen.

http://www.michael-fitzen.de/2012/03/04/daysofyorr-trojaner-eingefangen/

DaGoodness · 26. Februar 2014

Also ich habe jetzt keine weitere Dateien gefunden in denen diese Änderungen vorgenommen wurden.
Aber es ist immer noch nicht klar wo genau die Sicherheitslücke ist, bzw. wie das passieren konnte, von daher weiß ich natürlich nicht, ob das nicht nochmal passiert

Ich hätte da aber noch eine andere Sache, die mir eben aufgefallen ist. Vielleicht kann mir da ja eben schnell jemand was zu sagen, bevor ich einen neuen Thread aufmachen muss.

Da ich nur einen kleinen privaten Blog für die Familie betreibe, nutze ich das PlugIn "Private Only". Das funktioniert auch soweit ganz gut. Ich habe aber auf dem Blog beispielsweise auch Bilder hinterlegt. Wenn ich den direkten Link zu dem Bild habe, bekomme ich das Bild auch ohne einen LogIn angezeigt. Kann man dies irgendwie ändern?

Vielen Dank!

Hille · 26. Februar 2014

Ja, per .htaccess.

WPDE.org

WordPress Blog mit Schadsoftware VIO Player befallen?!

DaGoodness Member

Melewo Well-Known Member

DaGoodness Member

Melewo Well-Known Member

g3h Well-Known Member

Melewo Well-Known Member

mfitzen Well-Known Member

DaGoodness Member

Hille Well-Known Member

Nützliche Suchen

WordPress Blog mit Schadsoftware VIO Player befallen?!

DaGoodness Member

Melewo Well-Known Member

DaGoodness Member

Melewo Well-Known Member

g3h Well-Known Member

Melewo Well-Known Member

mfitzen Well-Known Member

DaGoodness Member

Hille Well-Known Member