Jul 032011
 

Na das war ein Wochenende. Am Samstag Morgen erhalte ich eine Email, daß verschiedene Seiten nicht mehr funktionieren. Dort erschien der Fehler:

Fatal error: Cannot redeclare security_update() (previously declared in /var/www/virtual/……/index.php:1) in /var/www/virtual/……./wp-content/plugins/cms-tree-page-view/index.php on line 1

Da hat es direkt bei mir geklingelt… Es wurde ein Blog nicht aktuallisiert…

Auf den Server verbunden, konnte ich schon direkt einige Dateien finden, die nichts mit dem Blog zu tun haben. Darunter war auch eine Datei mit dem Namen „google_verify.php“. Was noch schlimmer war, daß mittlerweile verschiedene Dateien kompromittiert wurden… Unter anderem wurde die .htaccess manipuliert… Einige Dateien wurden ausführbar gemacht (auch die .htaccess) und hatten einen zusätzlichen Eintrag mit „security_update“… Dieses hatte sich schon über weitere Seiten des Kunden verbreitet. Nicht nur Blogs wurden befallen, sondern selber programmierte Seiten und sogar ein Forum hatten kompromittierte Dateien.

Und nun kam die Krönung des Ganzen… Eine Template-Datei wurde so geändert, das sogar mein Virescanner angeschlagen hat:
virus_wordpress

Der Code ist für mich nicht zu erklären, aber wer wissen will was das für ein Code war kann ihn hier lesen:

Der richtig Code musste entfernt werden, da verschiedene Virenprogramm trotz des CodeTags auf den Code reagiert haben.

Die .htaccess hatte folgenden Eintrag

Nun habe ich für den Kunden alle Blogs auf die aktuellste Version gebracht, Passwörter für den FTP, SQL und den User abgeändert… Was lernt man daraus? Immer ein Auge auf die Webseite des Herstellers haben ob irgendwelche wichtigen Updates vorliegen…

Und zum Schluss noch ein Dankeschön an den Hacker der das Chaos ausgelöst hat. Ich hoffe Du hattest Deinen Spass gehabt. We will see us…

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

(required)

(required)

 

Durch das Fortsetzen der Benutzung dieser Seite, stimmst du der Benutzung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen", um Ihnen das beste Surferlebnis möglich zu geben. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen zu verwenden fortzufahren, oder klicken Sie auf "Akzeptieren" unten, dann erklären Sie sich mit diesen.

Schließen