Finde den Fehler: [K] Journal gehackt

Na prima. Stimmt es also doch, und es spukt hier. Manchmal ist hier ein unguter Link zu irgendwelchen Online-Casinos zu sehen, manchmal auch nicht. Leser haben es gesehen, und auch der wie immer phänomenale Support meines Hosters hat eine Reihe von Dateien identifiziert und in den Senkel gestellt, die in verdächtiger Weise verändert worden waren.

Und nu?

Blöd ist, dass ich jetzt, anders als in den letzten Tagen, zur Arbeit muss und keine Zeit zum Hack-Zerhacken habe. Weil mir aber schon seit gestern Fehlermeldungen aus bestimmten Theme-Bereichen aufgefallen sind, nehme ich vorerst an, dass das hier verwendete Theme gehackt wurde, und schalte deshalb – übrigens auch ein Vorschlag der Support-Leute – zumindest vorübergehend auf ein frisch installiertes hauseigenes WordPress-Theme um. Das heißt: All die schönen, unauffälligen Anpassungen der letzten Monate sind erstmal futsch, und auch Widgets gibts gerade mal keine. Eigentlich könnte ich gleich ein Under Construction-GIF aufhängen.

Im Augenblick sehe ich keine Casino-Links. Wenn doch wieder welche auftauchen in den nächsten Stunden, bitte ich um zweierlei:

  1. Hinterlassen Sie mir, bitte, eine kurze Information in den Kommentaren. Und
  2. Klicken Sie nicht auf diesen Casino-Link (oder was auch immer für ein Link da noch auftaucht). Um Gottes Willen, NICHT KLICKEN !!!!1!ELF

Danke einstweilen.

17 Gedanken zu „Finde den Fehler: [K] Journal gehackt“

    • Kommentar aus der U-Bahn: Mist-Mist-Mist. Jetzt habe ich schon WordPress neu installiert, ungenutzte Plugins gelöscht, auch anderswo in dem Account ungenutzten Code bis hin zu verwaisten Installationen gelöscht, und das Scheissding ist immer noch da.
      Also: Neuinstallation? Systemwechsel? Oder weiter Fehlersuche über eine wackelige UMTS-Verbindung?

      Ach, Dreck.

  1. Casino-Link ist nach wie vor sichtbar. Im Quellcode in Zeile 41, und zwar noch im Header der Seite. Da wurdest Du wohl an einer andere Stelle als am Template angegriffen.

    • Kommentar aus der U-Bahn: Dann hätte ich mir den Switch auch sparen können. Das Theme hatte meinen Verdacht geweckt, weil es sich nicht mehr automatisch sichern ließ (veränderte Berechtigungen!), und weil es – wie andere Themes auch – auch in den Header schreibt.

      Das Doofe ist, dass der Link nicht reproduzierbar eingeblendet wird. Nachgucken im Quellcode ist deshalb auch nicht immer hilfreich.

  2. »Das Doofe ist, dass der Link nicht reproduzierbar eingeblendet wird. Nachgucken im Quellcode ist deshalb auch nicht immer hilfreich.« – Also bei mir wird der Link reproduzierbar eingeblendet, und zwar ganz oben. Da der Link ja im Header steht, kann es gut sein, dass verschiedene Browser den ggf. auch nicht darstellen. Daher wäre der Blick in den Quellcode (wie eigentlich immer hust) angeraten.

    • Hust gegen hust: Natürlich habe ich im Quellcode nachgeguckt, und natürlich habe ich es mobil und stationär mit Chrome und Firefox (und jetzt gerade todesmutig sogar mit dem IEx8!) ausprobiert. Und leider taucht der Link eben nicht reproduzierbar auf. Ich sehe ihn seit einer Stunde nicht mehr, ob als Admin ein- oder als Normal-Nutzer ausgeloggt.

      Gewissensfrage: Taucht er im Standardlayout (grau in grau, blaue Links) auch auf oder nur im gecachten Normal-Layout (etwas bunter, orangefarbene Links)?

    • Das hirnrissig Blöde ist, dass ich den Link ja gar nicht zu sehen bekomme. Ich kann also derzeit ausprobieren, was ich will – für mich ändert sich nichts.

      Ich habe aber schon festgestellt, dass eine verlassene WP-Installation auf dem gleichen Account reichlich verseucht ist. Ich kann nur ohne FTP-Zugang (und den habe ich hier nicht) die Daten nicht komplett löschen. Und eine frische WP-Installation *from inside* geht auch nicht, weil die fleißigen Supporter das gesamte verseuchte WP-Backend gelöscht haben…

  3. schon mal in der DB nachgesehen? Da verewigen sich manche Angreifer auch – und dann kann man lang WP/Plugins&Themes putzen

    • Habe ich auch nachgesehen. Alle Vorkommnisse des Suchbegriffes „casino“ beziehen sich auf die letzten beiden Beiträge, sind also erst in die DB geraten, als der Hack schon passiert war.

  4. In der Mittagspause habe ich systematisch Plugins gelöscht (und nach erwiesener Unschuld wieder installiert). Ist jetzt Anlass für ein vorsichtiges Hurra?

    Wenn der Link jetzt nicht mehr auftaucht, war es das Statistik-Plugin „Analytic“ (kein Link wg. wozu auch?), das mir den Casino-Link untergejubelt hat.

  5. Manchmal liegt es auch an dem Apache selber. Ich hatte das einmal bei einem Kollegen. Da waren plötzliche ALLE virtuellen Domains auf dem Server davon betroffen. „Verseucht“ wurde der Server durch ein php-Blog, aber auch nach einer Neuinstallation der Software war der Spuk nicht vorbei. Erst ein Restart des Apache löste das Problem.

Kommentare sind geschlossen.

Mentions