Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Was sagen mir diese Zeilen?

Frage Internet CMS

Mitglied: Mr.FSB311

Mr.FSB311 (Level 1) - Jetzt verbinden

03.05.2014, aktualisiert 05.05.2014, 3004 Aufrufe, 10 Kommentare, 3 Danke

Hallo alle zusammen,
ich habe eine Frage zu den beiden Zeilen:
01.
03.05.2014 13:33:45 "/home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.php /home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.p" create "blog/wp-content/temp-write-test-1399116825" 
02.
 
03.
03.05.2014 13:33:45 "/home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.php /home/strato/http/premium/rid/75/86/51327586/htdocs/blog/wp-admin/admin-ajax.p" remove "blog/wp-content/temp-write-test-13991
Es geht um folgendes. Eine Freundin betreibt eine Website auf der es um Sprituelle Dinge usw. geht.
Diese Seite ist anfag April gehackt worden. Ich hatte da schon mal was gepostet: http://www.administrator.de/content/detail.php?id=236627#comment-920436

Ich hatte es wieder gesäubert, es lief einpaar Tage, aber nun ist die Domain und weitere wieder gespert.
Nur der blog eine subdomain dazu läuft noch.

Ich bin am 03.05.2014 um 13:30 oder so im Beckend der WP Instalation gewesen, und habe mir die Benutzerdaten angeschaut.
1 x steht da create "blog/wp-content/temp-write-test-1399116825" ?¿?
und in der anderen Zeile steht remove "blog/wp-content/temp-write-test-13991
Ich habe weder was erstellt noch was entfernt. Könnte mir evtl. jemannd einen Tipp geben was es damit auf sich hat.

Diese Zeilen sind auszüge aus einen Logging von Schreibzugriffen Logfile.

Ich danke für eure Bemühnugen.
Mitglied: certifiedit.net
03.05.2014 um 17:59 Uhr
Ich denke, sie sollte sich noch etwas tiefer mit dem Geister austreiben beschäftigen und du mit dem sinnvollen Umgang von gehackten Webspaces: Lösch alles: Mach es neu.
Bitte warten ..
Mitglied: flow.ryan
03.05.2014 um 18:45 Uhr
Hallo,

wie du siehst hast du leider doch nicht alles erwischt, bzw. die Software oder eines der Plugins hat noch eine Sicherheitslücke.

Wie auch im anderen Beitrag empfohlen:
Lösch die Sachen und setz es neu auf! Neue Wordpress Version und so gut es geht auf Plugins verzichten. Den Static-Conten (Bilder, etc) SOLLTEST du so übernehmen können.
Dann noch wichtig: Änder sämtliche Passwörter!

Gruß,
Florian
Bitte warten ..
Mitglied: Epixc0re
03.05.2014 um 23:04 Uhr
Ich hatte neulich auch mit einem gehackten Wordpress zu tun, da waren die Konfigurationen in GIF und PNG files ausgelagert, über HTTP wurden 1x1 große Grafiken dargestellt und mittels PHP Funktion wurde die "Konfiguration" in das Bild eingearbeitet .. ganz perfide ..

Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.

lG,
Stefan
Bitte warten ..
Mitglied: Mr.FSB311
04.05.2014, aktualisiert um 09:09 Uhr
Zitat von Epixc0re:
über HTTP wurden 1x1 große Grafiken dargestellt und mittels PHP Funktion wurde die "Konfiguration" in das
Bild eingearbeitet .. ganz perfide ..

Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.
Stefan
So ist es auch bei mir bzw. Bei der Freundin der die Seite gehört.
Könntest Du bitte den Satz > Hab das dann so weit zerlegt bis ich ein komplettes JSON Object bekommen hab.<
mir genauer beschreiben.
Denn die PHP Dateien sind sauber aber sobald ich auf eine Seite Zugreife mit Bildern, schlägt der Browser Alarm.
Ich hatte den ganzen Inhalt sowie die Datenbank geladen und In einer Virtuellen Maschine gespeichert.
Das Web ist mit dem CMS Website Baker v 2.8.1 umgesetzt.

Danke für die Bemühungen.
Bitte warten ..
Mitglied: flow.ryan
04.05.2014 um 10:44 Uhr
Hallo,

welches CMS wird denn nun eingesetzt? Wordpress oder Website Baker?

Gruß,
Florian
Bitte warten ..
Mitglied: certifiedit.net
04.05.2014 um 10:45 Uhr
Zitat von flow.ryan:

Hallo,

welches CMS wird denn nun eingesetzt? Wordpress oder Website Baker?

Gruß,
Florian

Site: WB
Blog: WP ;)
Bitte warten ..
Mitglied: flow.ryan
04.05.2014 um 10:46 Uhr
Ahhh,

okay.. das ergibt jetzt auch Sinn
Danke!
Bitte warten ..
Mitglied: Mr.FSB311
04.05.2014 um 12:20 Uhr
Sorry hatte mich nicht Richtig ausgedrückt.
Auf dem Webspace befinden sich mehre Domains.Die Haupt Domain ist mit Websitebaker, und die Sub Domain (blog.xxxxtld) ist mit wordpress umgesetzt.
Bitte warten ..
Mitglied: certifiedit.net
04.05.2014 um 12:23 Uhr
Je mehr Websites darauf sind, je mehr musst du schauen, welche alle Infiziert sind und ggf. alle säubern.
Bitte warten ..
Mitglied: Mr.FSB311
04.05.2014 um 12:32 Uhr
Sorry hatte mich nicht Richtig ausgedrückt.
Auf dem Webspace befinden sich mehre Domains.Die Haupt Domain ist mit Websitebaker, und die Sub Domain (blog.xxxxtld) ist mit wordpress umgesetzt.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Microsoft Office
Excel nur markierte Zeilen ausdrucken? (3)

Frage von Server4Alle zum Thema Microsoft Office ...

Microsoft Office
gelöst Excel: Mittelwert alle 96 Zeilen berechnen (6)

Frage von sims zum Thema Microsoft Office ...

Batch & Shell
Powershell - Zeilen in einer csv löschen bis (7)

Frage von Franz-Josef-II zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...