Achtung vor “wp-inc.php”

31. August 2009 von Thomas | 5 Kommentare

Wer derzeit mit Firefox 3.5 auf dieses Blog zugreifen möchte, bekommt folgende Meldung zu sehen:

als-attackierend-gemeldete-website

Nun hatte ich mich zuerst innerlich über google aufgeregt, hab dann aber gemerkt, dass massig Links im google-index drinstehen auf eine Datei wp-inc.php (mit ?source=blabla… hintendran). Diese Datei stammt jedenfalls NICHT von der WordPress-Installation, weiß der Teufel, wie die dort reingeschleust wurde und sollte mir wohl zu denken geben…

Naja, in der Datei wurde dann mit Hilfe des GET-Parameter und cURL eine URL erzeugt, auf die dann mit header(“Location”… umgeleitet wurde. Da im google-index die angehängten Namen meist Film- oder Programmnamen waren, kann ich mir schon denken, für was mein Blog also missbraucht wurde.

Das “Übel” hab ich also beseitigt, hoffe ich. Bleibt nun noch, Google von meiner Unschuldigkeit zu überzeugen, damit das doofe Schild wieder wegkommt.

Naja, und halt in Zukunft verhindern, dass einfach Dateien von Fremden auf meinem Webspace eingeschleust werden können.

5 Kommentare

  1. 1. Thomas

    Kommentar vom 1. September 2009 um 10:34

    So, Google hat das Blog wieder freigegeben, nachdem ich die oben beschriebene Datei entfernt habe und in den Google-Webmastertools einen Antrag auf erneute Überprüfung der Website gestellt hatte. Ging sogar recht flott.

    Naja, nun bleibt noch die Frage, wie die Datei auf den Webspace kam…
    Vielleicht sollte ich auch erstmal auf WordPress 2.8.4 updaten (ich nutze derzeit noch 2.7.1).

  2. 2. David

    Kommentar vom 1. September 2009 um 16:35

    Ist dann aber auch immer noch die Frage in wie weit dein System sonst noch kompromittiert wurde…

  3. 3. Thomas

    Kommentar vom 1. September 2009 um 16:45

    Ich tippe eigentlich auch eher darauf, dass jemand beispielsweise mein FTP-Zugangspasswort rausgefunden hat oder so.
    Hab auch schon die Anleitung von Thomas Scholz gelesen.

  4. 4. Dieter

    Kommentar vom 10. September 2009 um 07:37

    Hallo Thomas,

    ich hoffe, Du hast Deinen Webspace nun wieder sauber und sicher vor dem Zugriff Dritter.

    Bezüglich WordPress empfehle ich Dir zu entfernen. Damit kann ein Hacker automatisiert mittels Suchmaschineabfrage immer erkennen, dass Du WordPress einsetzt und welche Version.

    Das Ganze geht beispielsweise mit dem Plugin Secure WP von Frank Bültge.

    Beste Grüße
    Dieter

  5. 5. Thomas

    Kommentar vom 10. September 2009 um 07:53

    Hallo Dieter,
    ich denk dass mein Webspace soweit erstmal wieder sauber ist, zumindest vom Inhalt her. Aber ich bin wachsamer geworden durch den ganzen Schlamassel.
    Derzeit kann ich nichts “böses” feststellen in den logs etc.

    Die ganze Sache war sogar größer als nur diese “wp-inc.php”. Diese war wohl nur der “ansprechbare Teil” des Angriffes. Jedenfalls waren noch mehr, recht interessante Dateien auf dem Webspace. Derzeit ist Ruhe. WordPress hab ich auch aktuelle Version.

    Ich dank dir nochmal, dass du mich damals auf die Sache überhaupt erst hingewiesen hast ;-) .

Einen Kommentar schreiben

 
  • Blogverzeichnis
    Blogverzeichnis - Blog Verzeichnis bloggerei.de
    Bloggeramt.de
    Bloggerforum - Bloggerstadt.de

    Diese Seite zu Mister Wong hinzufügen
    Blog Top Liste - by TopBlogs.de

    Suchmaschinenoptimierung mit Ranking-Hits
    Blog Verzeichnis und Webkatalog
    Add to Technorati Favorites
    RSS Verzeichnis
    RSS-Verzeichnis
    Get this blog as a slideshow!
    Powered by feedmap.net