Achtung vor „wp-inc.php“

Wer derzeit mit Firefox 3.5 auf dieses Blog zugreifen möchte, bekommt folgende Meldung zu sehen:

als-attackierend-gemeldete-website

Nun hatte ich mich zuerst innerlich über google aufgeregt, hab dann aber gemerkt, dass massig Links im google-index drinstehen auf eine Datei wp-inc.php (mit ?source=blabla… hintendran). Diese Datei stammt jedenfalls NICHT von der WordPress-Installation, weiß der Teufel, wie die dort reingeschleust wurde und sollte mir wohl zu denken geben…

Naja, in der Datei wurde dann mit Hilfe des GET-Parameter und cURL eine URL erzeugt, auf die dann mit header(„Location“… umgeleitet wurde. Da im google-index die angehängten Namen meist Film- oder Programmnamen waren, kann ich mir schon denken, für was mein Blog also missbraucht wurde.

Das „Übel“ hab ich also beseitigt, hoffe ich. Bleibt nun noch, Google von meiner Unschuldigkeit zu überzeugen, damit das doofe Schild wieder wegkommt.

Naja, und halt in Zukunft verhindern, dass einfach Dateien von Fremden auf meinem Webspace eingeschleust werden können.

6 Gedanken zu „Achtung vor „wp-inc.php“

  1. So, Google hat das Blog wieder freigegeben, nachdem ich die oben beschriebene Datei entfernt habe und in den Google-Webmastertools einen Antrag auf erneute Überprüfung der Website gestellt hatte. Ging sogar recht flott.

    Naja, nun bleibt noch die Frage, wie die Datei auf den Webspace kam…
    Vielleicht sollte ich auch erstmal auf WordPress 2.8.4 updaten (ich nutze derzeit noch 2.7.1).

  2. Ist dann aber auch immer noch die Frage in wie weit dein System sonst noch kompromittiert wurde…

  3. Hallo Thomas,

    ich hoffe, Du hast Deinen Webspace nun wieder sauber und sicher vor dem Zugriff Dritter.

    Bezüglich WordPress empfehle ich Dir zu entfernen. Damit kann ein Hacker automatisiert mittels Suchmaschineabfrage immer erkennen, dass Du WordPress einsetzt und welche Version.

    Das Ganze geht beispielsweise mit dem Plugin Secure WP von Frank Bültge.

    Beste Grüße
    Dieter

  4. Hallo Dieter,
    ich denk dass mein Webspace soweit erstmal wieder sauber ist, zumindest vom Inhalt her. Aber ich bin wachsamer geworden durch den ganzen Schlamassel.
    Derzeit kann ich nichts „böses“ feststellen in den logs etc.

    Die ganze Sache war sogar größer als nur diese „wp-inc.php“. Diese war wohl nur der „ansprechbare Teil“ des Angriffes. Jedenfalls waren noch mehr, recht interessante Dateien auf dem Webspace. Derzeit ist Ruhe. WordPress hab ich auch aktuelle Version.

    Ich dank dir nochmal, dass du mich damals auf die Sache überhaupt erst hingewiesen hast ;-).

  5. Thanks for this post – I’ve had a hack with the same filename (wp-inc.php) inserted into the root directory (31st August 2012). It was also associated with the file data.php in the same directory and an active phishing directory located at:

    wp-admin/maint/SupreNet/

    Looks like this was only active for a few hours, so the site looked fine when I checked after a complaint. All of the contents of the phishing directory (SupreNet) had been deleted by the time I did a full directory sweep, but the backdoor via data.php and wp-ini.php was still open.

    From the stats there was a hell of a lot of traffic through the site while the scam was in operation – more than 10x our usual levels.

    I’ve had to take the entire site down and rebuild from scratch as the files that remain were written to be able to re-write any file on the site; there isn’t anything you can leave without storing trouble for the future.

    The hack looks very well written, and professionally executed. I think they made more money on this than it will cost me to fix, but I doubt I’ll get any compensation.

    🙁 grump.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.