Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Was sagen mir diese Zeilen?

Mitglied: Mr.FSB311

Mr.FSB311 (Level 1) - Jetzt verbinden

03.05.2014, aktualisiert 05.05.2014, 3544 Aufrufe, 10 Kommentare, 3 Danke

Hallo alle zusammen,
ich habe eine Frage zu den beiden Zeilen:
01.
03.05.2014 13:33:45 "/home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.php /home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.p" create "blog/wp-content/temp-write-test-1399116825" 
02.
 
03.
03.05.2014 13:33:45 "/home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.php /home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.p" remove "blog/wp-content/temp-write-test-13991
Es geht um folgendes. Eine Freundin betreibt eine Website auf der es um Sprituelle Dinge usw. geht.
Diese Seite ist anfag April gehackt worden. Ich hatte da schon mal was gepostet: https://www.administrator.de/content/detail.php?id=236627#comment-920436

Ich hatte es wieder gesäubert, es lief einpaar Tage, aber nun ist die Domain und weitere wieder gespert.
Nur der blog eine subdomain dazu läuft noch.

Ich bin am 03.05.2014 um 13:30 oder so im Beckend der WP Instalation gewesen, und habe mir die Benutzerdaten angeschaut.
1 x steht da create "blog/wp-content/temp-write-test-1399116825" ?¿?
und in der anderen Zeile steht remove "blog/wp-content/temp-write-test-13991
Ich habe weder was erstellt noch was entfernt. Könnte mir evtl. jemannd einen Tipp geben was es damit auf sich hat.

Diese Zeilen sind auszüge aus einen Logging von Schreibzugriffen Logfile.

Ich danke für eure Bemühnugen.
Mitglied: certifiedit.net
03.05.2014 um 17:59 Uhr
Ich denke, sie sollte sich noch etwas tiefer mit dem Geister austreiben beschäftigen und du mit dem sinnvollen Umgang von gehackten Webspaces: Lösch alles: Mach es neu.
Bitte warten ..
Mitglied: flow.ryan
03.05.2014 um 18:45 Uhr
Hallo,

wie du siehst hast du leider doch nicht alles erwischt, bzw. die Software oder eines der Plugins hat noch eine Sicherheitslücke.

Wie auch im anderen Beitrag empfohlen:
Lösch die Sachen und setz es neu auf! Neue Wordpress Version und so gut es geht auf Plugins verzichten. Den Static-Conten (Bilder, etc) SOLLTEST du so übernehmen können.
Dann noch wichtig: Änder sämtliche Passwörter!

Gruß,
Florian
Bitte warten ..
Mitglied: Epixc0re
03.05.2014 um 23:04 Uhr
Ich hatte neulich auch mit einem gehackten Wordpress zu tun, da waren die Konfigurationen in GIF und PNG files ausgelagert, über HTTP wurden 1x1 große Grafiken dargestellt und mittels PHP Funktion wurde die "Konfiguration" in das Bild eingearbeitet .. ganz perfide ..

Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.

lG,
Stefan
Bitte warten ..
Mitglied: Mr.FSB311
04.05.2014, aktualisiert um 09:09 Uhr
Zitat von Epixc0re:
über HTTP wurden 1x1 große Grafiken dargestellt und mittels PHP Funktion wurde die "Konfiguration" in das
Bild eingearbeitet .. ganz perfide ..

Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.
Stefan
So ist es auch bei mir bzw. Bei der Freundin der die Seite gehört.
Könntest Du bitte den Satz > Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.<
mir genauer beschreiben.
Denn die PHP Dateien sind sauber aber sobald ich auf eine Seite Zugreife mit Bildern, schlägt der Browser Alarm.
Ich hatte den ganzen Inhalt sowie die Datenbank geladen und In einer Virtuellen Maschine gespeichert.
Das Web ist mit dem CMS Website Baker v 2.8.1 umgesetzt.

Danke für die Bemühungen.
Bitte warten ..
Mitglied: flow.ryan
04.05.2014 um 10:44 Uhr
Hallo,

welches CMS wird denn nun eingesetzt? Wordpress oder Website Baker?

Gruß,
Florian
Bitte warten ..
Mitglied: certifiedit.net
04.05.2014 um 10:45 Uhr
Zitat von flow.ryan:

Hallo,

welches CMS wird denn nun eingesetzt? Wordpress oder Website Baker?

Gruß,
Florian

Site: WB
Blog: WP ;)
Bitte warten ..
Mitglied: flow.ryan
04.05.2014 um 10:46 Uhr
Ahhh,

okay.. das ergibt jetzt auch Sinn
Danke!
Bitte warten ..
Mitglied: Mr.FSB311
04.05.2014 um 12:20 Uhr
Sorry hatte mich nicht Richtig ausgedrückt.
Auf dem Webspace befinden sich mehre Domains.Die Haupt Domain ist mit Websitebaker, und die Sub Domain (blog.xxxxtld) ist mit wordpress umgesetzt.
Bitte warten ..
Mitglied: certifiedit.net
04.05.2014 um 12:23 Uhr
Je mehr Websites darauf sind, je mehr musst du schauen, welche alle Infiziert sind und ggf. alle säubern.
Bitte warten ..
Mitglied: Mr.FSB311
04.05.2014 um 12:32 Uhr
Sorry hatte mich nicht Richtig ausgedrückt.
Auf dem Webspace befinden sich mehre Domains.Die Haupt Domain ist mit Websitebaker, und die Sub Domain (blog.xxxxtld) ist mit wordpress umgesetzt.
Bitte warten ..
Ähnliche Inhalte
Off Topic

Datenbankfelderzuweisung Lexware und Sage

Frage von RakoriumOff Topic1 Kommentar

Hallo zusammen, kann mir jemand helfen im Bezug auf die Datenbankfelder von Lexware Premium und Sage GS Office. Ich ...

Windows Server

Was möchte MS mir hiermit sagen ?

gelöst Frage von HenereWindows Server7 Kommentare

Habe die Meldung: Der DFS-Replikationsdienst wurde wiederholt daran gehindert, eine Datei zu replizieren. Der Grund besteht in fortdauernden Freigabeverletzungen ...

Microsoft Office

Excel Zeilen in eine Zeile anzeigen

gelöst Frage von rw72Microsoft Office2 Kommentare

Hallo, ich habe eine Excel Tabelle mit dem Aufbau Nummer Text 0000001 Test2 0000001 Test1 0000002 Titel 0000002 Titel2 ...

Batch & Shell

Textdatei Zeile für Zeile auslesen

Frage von RIPUEDBatch & Shell

Hallo, ich würde gerne mit einem Batch-Skript Zeilen aus einer Textdatei einzeln und nacheinander auslesen und diese dann nach ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 3 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 10 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 13 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...