WP 2.7: Blogroll gehackt?

[RealPatzer]

Hallo an alle,

gestern entdeckte ich in meiner Blogroll unter http://www.vogtland-schach.de einen Eintrag "Online Casino" mit dem Link de.femalegambler.org.
Mal abgesehen davon, dass mir schleierhaft ist wie das jemand eintragen konnte, versuchte ich sofort disen Link im admin-Bereich zu löchen. Funktionierte auch scheinbar. Doch als ich den Adminbereich wieder verließ, war der Link wieder da.
Ich kann es mir nur so erklären, dass jemand meine WP-Installation gehackt hat. Vorerst lasse ich die Links nicht mehr anzeigen, aber das ist ja keine Lösung.
Was kann ich machen, um den Link zu entfernen?
Wie kann ich eine Wiederholung verhindern?

Das Blog ist bei Strato gehostet.
Läuft unter PHP5
Plugins: Askimet, Event Calendar, Exec-PHP, WP-Stats, WassUp, StatPress-reloaded, Rolemanager, WP-PostView, WP-Polls, WP-PostRatings

Braucht ihr weitere Infos?

Gruß Burkhard

[jottlieb]

WordPress neu hochladen, alle Plugins aktualisieren und ggf. testweise deaktivieren. Schau ob nich noch andere Sachen auf dem Webspace sind, über die man Zugriff auf den Server erhält. Das Theme könnte auch korrumpiert sein.

[RealPatzer]

Danke für die schnelle Antwort,

Zitat:

Zitat von jottlieb

WordPress neu hochladen, alle Plugins aktualisieren und ggf. testweise deaktivieren. Schau ob nich noch andere Sachen auf dem Webspace sind, über die man Zugriff auf den Server erhält. Das Theme könnte auch korrumpiert sein.

Das wird helfen das Script? rauszuschmeißen.
Wie aber kann ich mich vor wiederholung schützen?
Sind ähnliche Angriffe bekannt?
Besteht die Gefahr, dass der Angreifer noch andere sachen ändern kann?
Auf dem Webspace betreibe ich noch mehrere andere Domains. Wonach muss ich suchen?

Gruß Burkhard

[-ivan]

hi,
hier ein Bericht der Dich interessieren dürfte
Sicherheit in WordPress: 10 Schritte zum Schutz des Admin-Bereichs - WordPress, Absicherung, Admin-Bereich, Blog, Sicherheit, wp-config - Playground

[RealPatzer]

Danke -Ivan,

da habe ich wohl noch etwas Arbeit vor mir.

Was kann eigentlich Themen korrumpieren?

Burkhard

[kaiser]

das mit dem table-prefix für wp ist allerdings so eine sache. das würde ich gleich beim installieren von wp machen. viele plugins, die dazu etwas eintragen, könnten sonst probleme bekommen. es gibt übrigens auch ein wp-security-scanner plugin. hochladen, anschauen, lücken stopfen, deaktivieren. einfach und gut.

[RealPatzer]

Nachdem das Problem nach dem Überspielen der Wordpressinstallation weiterbestand. Probierte ich es mit einem anderen Theme aus - siehe da der Link tauchte nicht mehr auf.
Als ich mir daraufhin mein Template ansah, entdeckte ich, dass die header.php infiziert war. Jemand hatte code der Form eval< kryptische Zeichenfolge eingefügt>
Nach dem Löschen des Codes taucht der Link bis jetzt nicht wieder auf.

Nun meine Fragen:
Wie hat das der Angreifer wahrscheinlich gemacht?
Wie verhindere ich den Angriff auf die Template-Dateien?

Gruß Burkhard

[jottlieb]

Zitat:

Zitat von RealPatzer

Wie hat das der Angreifer wahrscheinlich gemacht?

Sicherheitslücken z.B. in WordPress, Plugins, im Theme oder anderer Software auf dem Server. Oder das Theme war von vornherein so.

[puschel]

Hallo,

ich habe das gleiche Problem auf meinem Blog (gehabt). Hatte noch ne Uraltversion von WP laufen und habe "aus Sicherheitsgründen" auf die aktuelle aktualisiert! Muharrrr....

Durch reines Löschen des Codes aus der header.php habe ich das nicht wegbekommen, da der Eintrag immer wieder nachgetragen worden ist.

So schien es zumindest, habe nicht weiter getestet. Die Aussage also erstmal unter Vorbehalt.

Habe jetzt Schreibrechte 444 auf die Datei gesetzt und Ruhe.
Konntest Du evtl. noch was zur genauen Ursache herausfinden!?

[jottlieb]

Zitat:

Zitat von puschel

Hallo,

ich habe das gleiche Problem auf meinem Blog (gehabt). Hatte noch ne Uraltversion von WP laufen und habe "aus Sicherheitsgründen" auf die aktuelle aktualisiert! Muharrrr....

Was nicht ausschließt, dass:
- Schon vor dem Upgrade dein WP kompromittiert war
- Du noch Themes oder Plugins mit Sicherheitslücken hast
- Man über ein anderes Script auf deinem Webspace reingekommen ist