1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress eMail als Spamschleuder

Dieses Thema im Forum "Konfiguration" wurde erstellt von WeHa, 19. Januar 2017.

  1. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    Hallo und Guten Tag,
    meine Wordpressseite/eMail wird als Spamschleuder/Massenemails missbraucht.
    Was kann ich machen?
    Hilft es die eMail-Adresse zu ändern?
    Viele Grüße
    WeHa
     
  2. mkronenfeld

    mkronenfeld Well-Known Member

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    227
    Zustimmungen:
    0
    Hallo WeHa,

    du solltest deinen Hosting Provider anrufen und E-Mail Service so bald wie möglich abschalten lassen.

    Danach kannst du in Ruhe den Fehler suchen, beheben und den Service wieder aktivieren lassen.

    LG
    Marvin
     
    #2 mkronenfeld, 19. Januar 2017
    Zuletzt bearbeitet: 19. Januar 2017
  3. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.412
    Zustimmungen:
    91
    Sein Hoster wird ihn doch bestimmt Bescheid gegeben haben das er Spams verschickt ;) Wie soll er das selber raus bekommen.

    Dein Hoster müsste dir eigentlich auch sagen können, von welchem Script die Email verschickt werden. Dann kannst du das Plugin löschen bzw. updaten.

    Primär solltest du jetzt sowieso alles Updaten von WordPress zu den Plugins sowie Themes!

    Sind es gekaufte Plugins und Themes, die keine automatische Updates beinhalten. Dann auf der Webseite des Herstellers gehen und dort die neuste Version downloaden.
     
  4. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    Hallo zusammen,
    danke euch für die Antworten.
    Dann geht's jetzt an die Arbeit.
    LG
    WeHa
     
  5. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    Hallo,
    ich habe gerade folgendes entdeckt.
    Ein Plugin mit dem Namen WPCoreSys in der PHP steht u.a.:

    function fn_dolly_get_cookie_name()
    {
    return 'wp-' . md5(get_home_url() . 'w_cookie');
    }

    function fn_dolly_get_table_name()
    {
    global $wpdb;

    return $wpdb->prefix . 'dolly_plugin_table';
    }

    function fn_dolly_plugin_activation_hook()
    {
    global $wpdb;
    $table_name = fn_dolly_get_table_name();

    if($wpdb->get_var("SHOW TABLES LIKE '$table_name'") != $table_name)
    {
    $charset_collate = $wpdb->get_charset_collate();

    $sql = "CREATE TABLE {$table_name} (
    hash varchar(32) NOT NULL,
    url varchar(190) NOT NULL,
    time datetime DEFAULT '0000-00-00 00:00:00' NOT NULL,
    UNIQUE KEY hash (hash)
    ) {$charset_collate};";

    require_once(ABSPATH . 'wp-admin/includes/upgrade.php');
    dbDelta($sql);

    Das scheint ein/das Problem zu sein.
    LG
    WeHa
     
  6. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.412
    Zustimmungen:
    91
    Ja? Sieht für mich nicht gefährlich aus. Auch sehe ich keine Befehl um Mails zu senden.

    Wenn du gehackt wurdest, wird es irgendwas mit base64 oder so ein kram sein, welches verschlüsselt ist.
     
  7. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    Das ist nich der ganze Code. Ich wusste nich wie viel ich nehmen sollte.

    Auf der Webseite gab es auch noch das Problem das Filme zu downloaden online gestellt wurden.
    Eine der Tabellen hieß wp_dolly_plugin_table. Wie in der PHP oben.

    Soll/kann/darf ich den ganzen Code online stellen?
    LG
     
  8. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.412
    Zustimmungen:
    91
    Der PHP Code erstellt auf jeden Fall eine Tabelle. Aber Emails senden tut es nicht.
     
  9. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    dann kommt das weg.

    Was ist das?
    wp-includes/IXR/class-IXR-base64.php
    <?php

    /**
    * IXR_Base64
    *
    * @package IXR
    * @since 1.5.0
    */
    class IXR_Base64
    {
    var $data;

    /**
    * PHP5 constructor.
    */
    function __construct( $data )
    {
    $this->data = $data;
    }

    /**
    * PHP4 constructor.
    */
    public function IXR_Base64( $data ) {
    self::__construct( $data );
    }

    function getXml()
    {
    return '<base64>'.base64_encode($this->data).'</base64>';
    }
    }

    LG
    WeHa
     
  10. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.412
    Zustimmungen:
    91
  11. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    ich habe mir noch einmal Wordpress runter geladen und da ist das im Original mit drin.
     
  12. mkronenfeld

    mkronenfeld Well-Known Member

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    227
    Zustimmungen:
    0
    Spricht etwas dagegen einen Snapshot von vor 1-2 Wochen einzuspielen?

    Wenn ich mir deine Rückfragen ansehe, nicht falsch verstehen, wäre es für dich um einiges leichter diesen auf Stand zu bringen, als nach Schadecode zu suchen. Der Zeitaufwand würde sich ebenfalls in Grenzen halten.

    LG
    Marvin
     
  13. Henk1060

    Henk1060 Well-Known Member

    Registriert seit:
    4. September 2014
    Beiträge:
    2.484
    Zustimmungen:
    115
    greift aber nicht bei php7 oder lese ich das falsch
     
  14. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    Hallo Marvin,
    ich muss jetzt weg. Melde mich morgen wieder.
    Snapshot? Was soll ich dir damit zeigen und wie?
    LG
    WeHa
     
  15. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.377
    Zustimmungen:
    43
    Snapshot ist nur ein anderer Begriff für Backup... :)
     
  16. spickzettel

    spickzettel Well-Known Member

    Registriert seit:
    19. Januar 2006
    Beiträge:
    1.848
    Zustimmungen:
    0
    IXR gehört zu WordPress dazu, also doch was Gutes :)
     
  17. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.469
    Zustimmungen:
    49
    Deine Seite ist gehackt - den Schadecode solltest du nicht online stellen... wirklich nicht
     
  18. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    eine kurze Zusammenfassung was ich auf die Schnelle gemacht habe.
    Plugin: wpcoresys gelöscht
    Das Kontaktformular von er Website entfernt.
    Beim Hoster den eMaildienst deaktivieren lassen.

    Die Seite ist wieder online gewesen.
    Heute früh kommt aber wenn ich die Seite aufrufe kommt aber nur noch folgendes: default parallels plesk desk.
    Warum und was muss ich machen?

    G
    WeHa
     
  19. maxe

    maxe WPDE-Team
    Mitarbeiter

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.181
    Zustimmungen:
    180
    deinen Hoster fragen
     
  20. WeHa

    WeHa Active Member

    Registriert seit:
    8. Dezember 2016
    Beiträge:
    32
    Zustimmungen:
    0
    Hallo zusammen,
    danke für die Hilfe die ich bisher erhalten habe.

    Falls es interessiert hier der Stand der Dinge.
    Das Kontaktformular von er Website entfernt. Beim Hoster den eMaildienst deaktivieren lassen.Hat nichts geholfen. Samstags wurden wie Spams verschickt und darum die Seil offline genommen.

    Heute habe ich alle Plugins gelöscht und nur die absolut notwendigsten neu installiert.
    Bisher nichts.

    Wenn ich mich nicht mehr melde ist alles in Ordnung
    WeHa
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden