Server geackt Spam über Wordpress

N

NextX

New Member
Ich habe jetzt schon ein paar Abuse Fälle bekommn. Beim auswerten der Logs auf meinem Vserver habe ich folgendes Gefunden:

PHP: 
eturn-Path: <www-data@xxxxxxxxxxxxx>
Received: by xxxxxxxx (Postfix, from userid 33)
	id 7F5FA32C196D; Wed, 28 Jan 2015 01:20:57 +0000 (UTC)
To: webr00t.mkt@gmail.com
Subject: Fx29Shell http://xxxxxxxx/wp-content/themes/default/web.php by 197.36.242.242
X-PHP-Originating-Script: 33:web.php(3171) : eval()'d code(229) : eval()'d code
Message-Id: <20150128012057.7F5FA32C196D@xxxxxxxx>
Date: Wed, 28 Jan 2015 01:20:57 +0000 (UTC)
From: www-data@xxxxxxxxxx (www-data)

Boss, there was an injected target on xxxxxxxx/wp-content/themes/default/web.php by 197.36.242.242

Wass könnte das sein? Nach diesem Eintrag gab es Massenhaft spam Emails :mad:
 
Vermutlich kam der Angreifer durch eine Lücke in Wordpress rein.
Fx29Shell dürfte eine PHP-Shell o.ä. sein.

Am besten erstmal den Server ins Rescue-System bringen und schauen wie der Angreifer in das System eingedrungen ist. (Logfiles checken/sichern sofern noch vorhanden )

Anschließend System neuinstallieren, alle Komponenten aktualisieren (System, Webserver, Wordpress + Plugins und Themes) und bei allen genutzten Konten (FTP etc.) neue Passwörter vergeben.
 
Wed, 28 Jan 2015 01:20:57 +0000 (UTC)
Click to expand...

Wow...nach sechseinhalb Wochen fängst du endlich mal an, zu reagieren...:confused:

Vielleicht wäre ein Webspace die bessere Alternative für dich, denn da brauchst du dich um die ganzen administrativen Angelegenheiten, speziell die Absicherung, nicht selber zu kümmern. Das würde der Webspace-Hoster für dich übernehmen...
 
Weil es in WP Standardmäßig kein "default" Theme-Ordner gibt entweder: Liegt dein aktives Theme im Ordner "default"?

das Theme selber in ordnung bringen bzw. überprüfen oder durch den Themeautor

nein?

löschen.

Das Wordfence Plugin könnte dir hier helfen und Hinweise liefern zumal es auch die Checksum deiner WP installation Prüft und ggf. infizierte Dateien sowie "schlechte" Themes/Plugins finden kann.

Irgendwie scheinen viele Theme/plugin authoren auf die eval() Funktion abzufahren vergessen dabei aber den Userinput zu validieren.
Dabei kann sowas rauskommen.
 
Last edited by a moderator:
Hast Du RevSlider bei dir installiert? Zumindest der Inhalt der Mail passt dazu. Falls ja, dann such mal diverse temp-Ordner durch (Code in einem der Files und mit Sicherheit hier und da auch eine fehlende index.php).
 
Ich würde mal die komplette WordPress installation runtehauen, bzw. alle Plugins/Themes deinstallieren.
 
You must log in or register to reply here.
Back
Top