10
Was sagen mir diese Zeilen?
Hallo alle zusammen,
ich habe eine Frage zu den beiden Zeilen:
Es geht um folgendes. Eine Freundin betreibt eine Website auf der es um Sprituelle Dinge usw. geht.
Diese Seite ist anfag April gehackt worden. Ich hatte da schon mal was gepostet: Strato Domain gehackt und gespert
Ich hatte es wieder gesäubert, es lief einpaar Tage, aber nun ist die Domain und weitere wieder gespert.
Nur der blog eine subdomain dazu läuft noch.
Ich bin am 03.05.2014 um 13:30 oder so im Beckend der WP Instalation gewesen, und habe mir die Benutzerdaten angeschaut.
1 x steht da create "blog/wp-content/temp-write-test-1399116825" ?¿?
und in der anderen Zeile steht remove "blog/wp-content/temp-write-test-13991
Ich habe weder was erstellt noch was entfernt. Könnte mir evtl. jemannd einen Tipp geben was es damit auf sich hat.
Diese Zeilen sind auszüge aus einen Logging von Schreibzugriffen Logfile.
Ich danke für eure Bemühnugen.
ich habe eine Frage zu den beiden Zeilen:
03.05.2014 13:33:45 "/home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.php /home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.p" create "blog/wp-content/temp-write-test-1399116825"
03.05.2014 13:33:45 "/home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.php /home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.p" remove "blog/wp-content/temp-write-test-13991 Diese Seite ist anfag April gehackt worden. Ich hatte da schon mal was gepostet: Strato Domain gehackt und gespert
Ich hatte es wieder gesäubert, es lief einpaar Tage, aber nun ist die Domain und weitere wieder gespert.
Nur der blog eine subdomain dazu läuft noch.
Ich bin am 03.05.2014 um 13:30 oder so im Beckend der WP Instalation gewesen, und habe mir die Benutzerdaten angeschaut.
1 x steht da create "blog/wp-content/temp-write-test-1399116825" ?¿?
und in der anderen Zeile steht remove "blog/wp-content/temp-write-test-13991
Ich habe weder was erstellt noch was entfernt. Könnte mir evtl. jemannd einen Tipp geben was es damit auf sich hat.
Diese Zeilen sind auszüge aus einen Logging von Schreibzugriffen Logfile.
Ich danke für eure Bemühnugen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237090
Url: https://administrator.de/contentid/237090
Printed on: April 23, 2024 at 21:04 o'clock
10 Comments
Latest comment
Ich denke, sie sollte sich noch etwas tiefer mit dem Geister austreiben beschäftigen und du mit dem sinnvollen Umgang von gehackten Webspaces: Lösch alles: Mach es neu.
1
Hallo,
wie du siehst hast du leider doch nicht alles erwischt, bzw. die Software oder eines der Plugins hat noch eine Sicherheitslücke.
Wie auch im anderen Beitrag empfohlen:
Lösch die Sachen und setz es neu auf! Neue Wordpress Version und so gut es geht auf Plugins verzichten. Den Static-Conten (Bilder, etc) SOLLTEST du so übernehmen können.
Dann noch wichtig: Änder sämtliche Passwörter!
Gruß,
Florian
wie du siehst hast du leider doch nicht alles erwischt, bzw. die Software oder eines der Plugins hat noch eine Sicherheitslücke.
Wie auch im anderen Beitrag empfohlen:
Lösch die Sachen und setz es neu auf! Neue Wordpress Version und so gut es geht auf Plugins verzichten. Den Static-Conten (Bilder, etc) SOLLTEST du so übernehmen können.
Dann noch wichtig: Änder sämtliche Passwörter!
Gruß,
Florian
1
Ich hatte neulich auch mit einem gehackten Wordpress zu tun, da waren die Konfigurationen in GIF und PNG files ausgelagert, über HTTP wurden 1x1 große Grafiken dargestellt und mittels PHP Funktion wurde die "Konfiguration" in das Bild eingearbeitet .. ganz perfide ..
Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.
lG,
Stefan
Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.
lG,
Stefan
1
Zitat von @Epixc0re:
über HTTP wurden 1x1 große Grafiken dargestellt und mittels PHP Funktion wurde die "Konfiguration" in das
Bild eingearbeitet .. ganz perfide ..
Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.
Stefanüber HTTP wurden 1x1 große Grafiken dargestellt und mittels PHP Funktion wurde die "Konfiguration" in das
Bild eingearbeitet .. ganz perfide ..
Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.
So ist es auch bei mir bzw. Bei der Freundin der die Seite gehört.
Könntest Du bitte den Satz > Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.<
mir genauer beschreiben.
Denn die PHP Dateien sind sauber aber sobald ich auf eine Seite Zugreife mit Bildern, schlägt der Browser Alarm.
Ich hatte den ganzen Inhalt sowie die Datenbank geladen und In einer Virtuellen Maschine gespeichert.
Das Web ist mit dem CMS Website Baker v 2.8.1 umgesetzt.
Danke für die Bemühungen.
Hallo,
welches CMS wird denn nun eingesetzt? Wordpress oder Website Baker?
Gruß,
Florian
welches CMS wird denn nun eingesetzt? Wordpress oder Website Baker?
Gruß,
Florian
Zitat von @110135:
Hallo,
welches CMS wird denn nun eingesetzt? Wordpress oder Website Baker?
Gruß,
Florian
Hallo,
welches CMS wird denn nun eingesetzt? Wordpress oder Website Baker?
Gruß,
Florian
Site: WB
Blog: WP ;)
1
Ahhh,
okay.. das ergibt jetzt auch Sinn
Danke!
okay.. das ergibt jetzt auch Sinn
Danke!
Sorry hatte mich nicht Richtig ausgedrückt.
Auf dem Webspace befinden sich mehre Domains.Die Haupt Domain ist mit Websitebaker, und die Sub Domain (blog.xxxxtld) ist mit wordpress umgesetzt.
Auf dem Webspace befinden sich mehre Domains.Die Haupt Domain ist mit Websitebaker, und die Sub Domain (blog.xxxxtld) ist mit wordpress umgesetzt.
Je mehr Websites darauf sind, je mehr musst du schauen, welche alle Infiziert sind und ggf. alle säubern.
2
Sorry hatte mich nicht Richtig ausgedrückt.
Auf dem Webspace befinden sich mehre Domains.Die Haupt Domain ist mit Websitebaker, und die Sub Domain (blog.xxxxtld) ist mit wordpress umgesetzt.
Auf dem Webspace befinden sich mehre Domains.Die Haupt Domain ist mit Websitebaker, und die Sub Domain (blog.xxxxtld) ist mit wordpress umgesetzt.
