WordPress Deutschland Forum - Einzelnen Beitrag anzeigen - Bitte um Hilfe: Blog gehacked, Spam wird im Code der Beiträge untergebracht

FrankPS · 23.03.2008, 10:21

Hallo liebe WP-Community,

Ich wende mich an Euch, weil mein WP-Blog Phaenorealismus "gehacked" worden ist, und ich mit der Bekämpfung nicht wirklich weiter komme. Ich hoffe, Ihr könnt mir helfen.

* Beschreibung:
Seit einigen Wochen tauchen immer wieder "Ergänzungen" meiner Einträge auf (also der eigentlichen Blogeinträge - nicht der Kommentare). Sie sind immer im Code des Eintrages versteckt, hier mal ein Beispiel (sorry für die NSFW-Inhalte, sie sind nicht von mir

):

"Dies ist nur ein kleiner Test-Beitrag aus Maintainance-Gründen. Bitte ignorieren.

<font style="overflow: hidden; position: absolute; height: 0pt; width: 0pt"><a href="http://www.kevinminnis.com/hqc.php?closeup.htm">gay close up cum</a>
<a href="http://www.kevinminnis.com/hqc.php?machine.htm">pussy fucked by machines</a>
<a href="http://www.kevinminnis.com/hqc.php?bdsm.htm">rubber bdsm</a>
<a href="http://www.kevinminnis.com/hqc.php?paparazzi.htm">banned paparazzi photos</a>
<a href="http://www.kevinminnis.com/hqc.php?college.htm">shawnee community college</a>..."

Der erste Teil mit dem testeintrag ist von mir - alles ab dem <font>-Tag ist zugefügt worden.

Der Spamm ist in meinem Blog nicht zu lesen, wenn man direkt die URL aufruft - er ist aber sehr wohl im RSS-Feed zu sehen (z.Bsp. im google-reader). Er ist auch in der WYSISYG Ansicht des Rich Text Editors nicht zu sehen, wohl aber in der Codeansicht.

Wenn ein solcher Spam-Eintrag vorhanden ist, dann ist auffällig, dass immer die Kommentarfunktion zum jeweiligen Blogeintrag geschlossen wurde, und auch keine Pings mehr zulässig sind. Diese beiden Einstellungen habe ich vorher bei den Einträgen nicht vorgenommen.

* WP-Version: Das Problem ist zunächst bei einer 2.1.X-Version aufgetreten, aber bleibt auch nach Update auf 2.3.3 DE bestehen. (Ja, ich hätte vorher / regelmässiger updaten sollen... Jetzt bin ich schlauer. Und waidwunder...)

* Bisherige Aktionen:
- Immer wieder die Änderungen an den Beiträgen rückgängig gemacht. (Gerade der NSFW-Aspekt ist für mich als Pädagoge nicht wirklich karrierefödernd... :/)
- WP-Update (s.o.)
- Alle Verzeichnisse bezüglich der Rechte gecheckt: Alle sind (und waren) 775.
- Aller Verzeichnisse nach verdächtigen Inhalten durchsucht - so weit ich das beurteilen kann, ist da nichts. (Also beispielsweise keine Verzeichnisse "1" oder so...)
- Alle Nutzer außer dem Admin auf "Leser" zurückgesetzt (waren Sie aber meiner Meinung nach auch vorher schon). Es sind keine unbekannten Nutzer darunter.
- Alle Nutzer auch in der Datenbank geprüft, alle ok.
- Admin-Passwort geändert, allerdings war es vorher schon ziemlich sicher (>10 Stellen, keine Worte, buchstaben & zahlen & sonderzeichen gemischt).

HILFE! Hat wer so etwas ähnliches schon erlebt? Wie könnte ich vorgehen, um dieses Problem zu lösen? Eine komplette Neuinstallation würde ich gerne - sofern es geht - vermeiden wollen ...

Vielen Dank schon mal, und mit besten wenn auch etwas verzweifelten Ostergrüßen,

Frank

23.03.2008, 10:21	#1 (permalink)
FrankPS PostRank: 0 Registriert seit: 23.03.2008 Beiträge: 5	Bitte um Hilfe: Blog gehacked, Spam wird im Code der Beiträge untergebracht Hallo liebe WP-Community, Ich wende mich an Euch, weil mein WP-Blog Phaenorealismus "gehacked" worden ist, und ich mit der Bekämpfung nicht wirklich weiter komme. Ich hoffe, Ihr könnt mir helfen. * Beschreibung: Seit einigen Wochen tauchen immer wieder "Ergänzungen" meiner Einträge auf (also der eigentlichen Blogeinträge - nicht der Kommentare). Sie sind immer im Code des Eintrages versteckt, hier mal ein Beispiel (sorry für die NSFW-Inhalte, sie sind nicht von mir ): "Dies ist nur ein kleiner Test-Beitrag aus Maintainance-Gründen. Bitte ignorieren. <font style="overflow: hidden; position: absolute; height: 0pt; width: 0pt"><!--4848--><a href="http://www.kevinminnis.com/hqc.php?closeup.htm">gay close up cum</a> <a href="http://www.kevinminnis.com/hqc.php?machine.htm">pussy fucked by machines</a> <a href="http://www.kevinminnis.com/hqc.php?bdsm.htm">rubber bdsm</a> <a href="http://www.kevinminnis.com/hqc.php?paparazzi.htm">banned paparazzi photos</a> <a href="http://www.kevinminnis.com/hqc.php?college.htm">shawnee community college</a>..." Der erste Teil mit dem testeintrag ist von mir - alles ab dem <font>-Tag ist zugefügt worden. Der Spamm ist in meinem Blog nicht zu lesen, wenn man direkt die URL aufruft - er ist aber sehr wohl im RSS-Feed zu sehen (z.Bsp. im google-reader). Er ist auch in der WYSISYG Ansicht des Rich Text Editors nicht zu sehen, wohl aber in der Codeansicht. Wenn ein solcher Spam-Eintrag vorhanden ist, dann ist auffällig, dass immer die Kommentarfunktion zum jeweiligen Blogeintrag geschlossen wurde, und auch keine Pings mehr zulässig sind. Diese beiden Einstellungen habe ich vorher bei den Einträgen nicht vorgenommen. * WP-Version: Das Problem ist zunächst bei einer 2.1.X-Version aufgetreten, aber bleibt auch nach Update auf 2.3.3 DE bestehen. (Ja, ich hätte vorher / regelmässiger updaten sollen... Jetzt bin ich schlauer. Und waidwunder...) * Bisherige Aktionen: - Immer wieder die Änderungen an den Beiträgen rückgängig gemacht. (Gerade der NSFW-Aspekt ist für mich als Pädagoge nicht wirklich karrierefödernd... :/) - WP-Update (s.o.) - Alle Verzeichnisse bezüglich der Rechte gecheckt: Alle sind (und waren) 775. - Aller Verzeichnisse nach verdächtigen Inhalten durchsucht - so weit ich das beurteilen kann, ist da nichts. (Also beispielsweise keine Verzeichnisse "1" oder so...) - Alle Nutzer außer dem Admin auf "Leser" zurückgesetzt (waren Sie aber meiner Meinung nach auch vorher schon). Es sind keine unbekannten Nutzer darunter. - Alle Nutzer auch in der Datenbank geprüft, alle ok. - Admin-Passwort geändert, allerdings war es vorher schon ziemlich sicher (>10 Stellen, keine Worte, buchstaben & zahlen & sonderzeichen gemischt). HILFE! Hat wer so etwas ähnliches schon erlebt? Wie könnte ich vorgehen, um dieses Problem zu lösen? Eine komplette Neuinstallation würde ich gerne - sofern es geht - vermeiden wollen ... Vielen Dank schon mal, und mit besten wenn auch etwas verzweifelten Ostergrüßen, Frank