Was ist neu?

wordpress admin injection

Sven

- Premium Member -
..hat gerade n paar blogs von mir "befallen", jeweils 3 zusätzliche Admin-Accounts, sind im blog selbst nur bei deaktiviertem Javascript sichtbar (oder eben in der db). Weitere Schäden suche ich gerade noch, grummel...

Also checkt mal Eure Benutzer...
 

Sven

- Premium Member -
wordpress 2.8

plugins sind sauber, auch nur das übliche, permalink redirect, all-in-one SEO, mehr nicht, nix geändert.

Das Problem ist ja auch nicht, die wieder loszuwerden, sondern eben mehr, weitere Schäden aufzuspüren... bisher nix verdächtiges zu finden bei mir...
 

sophie

- Premium Member -
holla, ich bin auch befallen.
Ich habe WP sogar erst kürzlich auf 2.9.1. geupdatet. In der header.php ist neuer Code enthalten. Diesen habe ich entfernt. Aber ich habe im Quelltext noch immer Schmutz drinn. Zwar schlägt der Virenscanner nicht mehr an, aber es ist noch nicht sauber.
Achso, zwei neue User hatte ich auch.

Mein avast-Virenscanner aus dem G-Pack hat mich nicht mehr auf die Seite gelassen weil er einen Trojaner entdeckt hatte. Damit hatte avast ja dann wohl recht.
 

sophie

- Premium Member -
Nein, wobei ein solches PlugIn noch installiert ist, aber nicht mehr aktiviert!

Ich denke das war eine MySQL-Injection - worüber diese jedoch gekommen ist, weiß ich nicht. Das kann alles sein. Ein Plugin oder eine Datei vom WP-Core, zumindest denke ich das.

Es wurden zwei User angelegt. Und jeder User hatte als "Vorname" ein nettes javescript. Ich hatte sowas schonmal, da waren drei User angelegt.

Rein aus technischer Sicht finde ich sowas bemerkenswert, eine solche Schwachstelle zu finden und dann sowas zu bewerkstelligen.
 

sophie

- Premium Member -
mhh... kann ein Zufall sein. Auf dem befallen Blog sind nun diese Referer eingeschlagen. In Summe habe ich ca. 20 davon. yandex ist mir nicht sonst nie aufgefallen als Trafficquelle. Zudem sind die auch nacheinander eingeschlagen.

 

txt

- Premium Member -
yandex ist bei uns auf allen Seiten wg. sinnfreien Traffics geblockt, ebenso wie baidu, die exakt nach der Google-Affäre durch bemerkenswert heftigen Spider-Traffic auffällig geworden sind.
Wen's interessiert:
deny from 93.158.134.0/24 #yandex
deny from 95.108.128.0/24 #yandex
deny from 123.112.0.0/12 #baidu
deny from 119.63.192.0/21 #baidujapan
Gerade bei baidu dürften die Tage noch IP-Blöcke dazukommen...
 

Jarez

- Premium Member -
Hast du mal im Forum von Wordpress Deutschland nach etwas passendem zum Thema geschaut?

Hier der Link:

WordPress Deutschland Forum

Dort wird ja über so etwas auch diskutiert. Auf den ersten Blick scheint es dort kein aktuelles Thema "Code Injection" zu geben, ist also eventuell kein Massenphänomen.
 

Neue Themen

Oben