Wordpress gehackt und Umleitung eingebaut

Schau in deine header.php und wirf das raus, ist eine Javascript Weiterleitung:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Teste danach ob der Blog wieder geht und dann sag Bescheid, dann sehen wir weiter.

PS: Avira meint bei ausgeschaltetem Javascript im Fox -> HTML/crypted.gen gefunden.

 

Ja, trotzdem vorher ein Backup der Datenbank machen und dann erst updaten. Nur für den Fall, das noch irgendwas nach dem Update nicht will und zerspielt wurde.

 

Welche Wordpress Version hast du denn bisher genutzt?

Gibt verschiedene Möglichkeiten:
Wie sicher ist dein Passwort?
Welche WP Version?
Wer ist dein Hoster? Ev. sind sie darüber eingedrungen...
Welche Plugins?

 

Ebenfalls gehackt

Hallo zusammen,

leider ist mein Blog ebenfalls gehackt worden. Anders als Randy bin ich aber Technik-Legasthenikerin und brauche fachkundige Hilfe, um das Ganze zu beheben . Das Blog ist vom Netz, aber wie ich jetzt ein Backup mache und meine Daten wieder säubere, überfordert mich leider. Meine vorsichtige Suche nach der header.php (über Cyberduck und TextWrangler) hat mich leider nicht zum gewünschten Punkt geführt, und ich würde mich sowieso nicht trauen, einfach so was zu löschen.

Also, wer Ahnung hat, sende mir bitte eine PM mit Honorarvorstellungen. Ich hätte mein Blog schon gerne bald wieder in alter Schönheit am Netz :???:.

Danke und viele Grüße
Heide

 

geht auch ohne Kohle, wenn du mal den Link postest + das Teil vielleicht unter einer anderen URL wieder online stellst

 

Siehst Du, da geht's schon los. Die URL lautet www.heide-liebmann.de/blog, aber das lässt sich ja nicht aufrufen. Und wie ich das unter einer anderen URL machen soll - keine Ahnung. Vom Netz genommen hat das heute morgen der Mensch, bei dem das Ganze auf dem Server liegt.

Tut mir leid, ich bin da wirklich überfordert.

 

Na ja, bei wem lässt du den hosten? und wie hast du es eingerichtet?

 

..und eine weitere Frage:wie hast du es gelöscht und vom Netz genommen?

lg

 

Gehostet wird es bei ebenjenem Menschen, der mir das Blog auch damals eingerichtet hat. Allerdings sagt er selbst, er habe von WP eigentlich keine Ahnung und mit diesem Virus kann er mir nicht helfen. Deshalb brauche ich ja jemand, dem ich die Zugangsdaten anvertrauen kann, damit er sich das mal "von innen" anschaut. Vermutlich muss ich das Blog auf jeden Fall erst updaten, weil es noch auf einer Uralt-Version läuft (ich glaube WP 1.7 oder so). Vielleicht erledigt sich das Problem damit dann ja von selbst?

 

Hallo Monika,

wie ich schon schrieb: das hat der Mensch erledigt, bei dem meine komplette Homepage und damit auch das Blog auf dem Server liegt. Ihr seht, ich bin da wirklich zu nicht viel zu gebrauchen. Was ich technisch hinbekomme, ist per Copy & Paste kleine Codes zu kopieren, und ein bisschen rudimentäres html. Aber was genau ich da eigentlich mache, verstehe ich nicht :-?. Deshalb suche ich ja so verzweifelt nach jemand, der sich auskennt. Alleine schaffe ich das leider nicht.

 

Virus gefunden - wie kann ich helfen?

Mischel hier mal mit. Nur nebenbei: Bei mir ist das Blog nicht gehostet und damit hab ich nichts zu tun. Mit Viren kenn ich mich auch nicht gut aus, aber da ich Heide schon früher mal was am Blog gemacht habe, habe ich die Zugangsdaten und gesehen dass das Blog NICHT vom Netz weg ist, sondern nur umbenannt. Hab das JS in der header.php gefunden und kann das für sie wegmachen.

Frage nur vorher mal sicherheitshalber in die Runde: Kann ich die header.php gefahrlos auf meinen Rechner ziehen ohne, dass ich mir da selber was einfange? Ich habe AVG installiert, weiß aber nicht, wo der Quarantäne Ordner ist ... oder passiert da nix?

Liebe Grüße
Jutta

 

Ja. Die .php-Datei ist ja an sich erstmal nicht ausführbar. Du kannst den Inhalt auch hier posten.

 

Hallo marx,

ok - das hier ist - denke ich mal - der gleiche Virus, sitzt in head - /head und den sollte ich entfernen können:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

LG Jutta

 

Ja. Und forscht bitte nach, woher der Eintrag kommt. Könnte ein kompromittiertes Theme sein, welches den Eintrag schon von Beginn an hatte. Oder ein Angreifer konnte über eine Lücke (in WP, im Webserver etc.) direkt die header.php beschreiben.

 

Das Script versucht übrigens, dieses Script hier nachzuladen:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

(Protokoll und TLD zensiert, wer es ansehen möchte: "http" und "com")

Ausgehend vom Scriptnamen "wp.js" geh ich mal davon aus, dass das eine WordPress-Lücke ist, die hier genutzt wird...

 

So, ich habe das JS aus der header.php gelöscht, aber ganz wohl ist mir jetzt nicht ... hoffe, dass ich mich nicht angesteckt habe.

Heide hat seit eh und jeh das default theme, was der "begnadete Betreuer" lediglich mit ein paar Tabellen etwas "aufgehübscht" hat. Habe letztes Jahr, als ich schonmal auf ihrem Server war, ein paar baks von der header.php hinterlassen und hier war das Virus noch nicht drin. Sieht also nicht so aus als wenn das von einem infiziertem Theme drauf gekommen wäre. Ich denke auch, dass es eine Sicherheitslücke ist, zumal es sich ja auch um eine ziemlich alte Version handelt, die dringend aktualisiert werden müsste.

 

Die Frage ist ja ob es nur ein Problem in der header.php ist oder auch wo anders. Ich würd eher empfehlen den ganzen Block neu aufzusetzen mit der 2.6er Version. Dadurch das WP immer beliebter wird gibts auch immer mehr exploids. Da ist es das a und o immer auf aktuellem Stand zu sein.

Daher:
Datenbank- Backup,
WP frisch und neu in einen neuen Ordner installieren
alte Datenbank mir der neuen installation verbinden
upgrade.php ausführen

und dann überlegen ob nen neues theme net besser wär, ob das alte unter 2.6 läuft is eh fraglich


//EDIT

Ok, war etwas langsam... musste auch mal arbeiten Wenns das Standard-Theme ist noch besser, dann einfach nen neues wp und die kleinen änderungen da nachpflegen und gut.