parcour-dresden.de gehackt?
Sonntag, 9. September 2007 | Autor: Chefkoch
Tach allerseits, wie vielleicht der eine oder andere mit-gekriegt hat, wurde die Seite gehackt. Samstag morgen 7 Uhr wurden einige .php Dateien “ergänzt”, so dass die auf eine merkwürdige Seite gezeigt haben. Hab alles neu aufgespielt. Mein Antivir hat da einen Virus gemeldet.
Ansonsten hoffe ich mal, dass das ne krasse Ausnahme war, und das neueste Sicherheitsupdate für WordPress (so etwas gibts etwa alle 2 Wochen :-/) diese Lücke geschlossen hat.
Wenn die Informatiktraceure Tips haben, her damit!
Ergänzt: Laut Stabil kein Virus!
KEIN VIRUS
Hab mal den Link auf die Seite verfolgt und mir den Quelltext angesehen. Der Quelltext ist ein Visual Basic Script, nimmt einen recht kryptischen String als Eingabe (kann leider nicht feststellen, wie der generiert wird oder ob der wirklich nur hardcoded ist), läuft dann über den kompletten String, berechnet dabei wohl jedes Mal die Mitte des Strings und führt dann in Abhängikeit des dort stehenden Zeichens eine Operation aus.
Im Endeffekt macht er aus dem gegeben String einen neuen String und schreibt den irgendwo hin (document.write s). Würde mich jetzt mal interessieren, welches dieses document ist. Ist das die aufrufende php-Seite – sprich unsere?
Hab jetzt aber nicht den Nerv, den Ausgangsstring zu entschlüsseln..
Da ich auch kein VBS hier habe, kann ich das Script auch erstmal nicht zuhause ausführen.
edit
@Robert
Kannst du bitte mal in den Antivir Logs schauen, was der da genau erkannt hat?
/edit
war leider zu erwarten das sowas früher oder später passieren würde – WordPress is halt ne exploitanfällige PHP-Software.
Auf welchem Server wird das WordPress eigentlich gehostet? Bei bedarft könnte ich einen meiner Server zur Verfügung stellen.
Gruß Ben
Das hier verwendete WordPress ist im übrigen gegenüber diesem aktuellen Exploit anfällig.
Mit Hilfe dieses Scripts könnte jedes Script-Kiddie Zugang erhalten.
http://www.milw0rm.com/exploits/4397
Haben wir die aktuelleste WordPressversion? Wäre es gegebenenfalls sinnvoller eine anderes CMS zu nutzen?
Gruß Ben
Nimm mal bitte wegen CMS und eigenem Server Kontakt zum Chefkoch auf.