Algorithmenwerk.de wurde gehackt: “itsallbreaksoft.net”
Nett, meine Website wurde gehackt. Während ich den Artikel youtube mp3 instant rippen schrieb, fiel mir auf, dass mein Browser immer auf die Adresse “itsallbreaksoft.net” zugriff.
Eine Whois-Anfrage dieser Domain liefert folgendes russisches Arschloch:
Registration Service Provided By: - Contact: director@climbing-games.com Visit: http://www.ruler-domains.com Domain name: itsallbreaksoft.net Registrant Contact: Nexton Limited Ryabov Sergey () Fax: Scherbakova st., 6-38 Saint-Petersburg, 197375 RU Administrative Contact: Nexton Limited Ryabov Sergey (director@climbing-games.com) +79219270961 Fax: +79219270961 Scherbakova st., 6-38 Saint-Petersburg, 197375 RU Technical Contact: Nexton Limited Ryabov Sergey (director@climbing-games.com) +79219270961 Fax: +79219270961 Scherbakova st., 6-38 Saint-Petersburg, 197375 RU
Wenn ich ihm mal begegnen sollte, werde ich ihm die Finger brechen und seine Mutter ficken (Wundern sie sich nicht über diesen vulgären Ausbruch, in Russland sagt man das so 
)
Der Hack ist leicht zu beseitigen. In der Datei
./wp-content/themes/[THEME]/header.php
befindet sich ein Stück Javasript-code:
<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74
%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75
blah
blah
blah
%264E%264E1%263%3A%268C%261B%261%3A%261%3Axjoepx/mpdbujpo%264Ei%264C%261B
%268E%261B%264D0tdsjqu%264F1')</script>
Dieser Code muss entfernt werden. Danach erstmal diese Datei mit
sudo chmod a-w header.php
vor Schreibenzugriffen schützen. Das ist im Moment die einzige sinnvolle Maßnahme, da auch die aktuelle Wordpress-Version von diesem Exploit betroffen sein kann.
Danach empfehle ich einen Besuch in St.Petersburg. Nehmen Sie eine Rohrzange und ein Kondom mit! Russinnen duschen nicht so oft wie Europäerinnen!
Hi und vielen Dank für Dein Posting…die Umleitung war mir eben auch aufgefallen. Da ich ein Backup hatte, konnte ich die fehlerhafte Datei einfach überschreiben
Dazu hatte ich nochen einen Benutzer im Blog (Dinodeeter64) der zwar plötzlich als Autor auftauchte (bei Artikeln, die ich geschrieben hatte) aber nicht in der Benutzerübersicht erschien.
Dazu kam, daß let Wordpress (2) admins angelegt waren, jedoch nur einer angezeigt wurde.
Nachdem ich die betroffenen Artikel wieder mir zugewiesen hatte bin ich direkt in die DB und habe den Benutzer dort gelöscht…weiß nicht ob das was miteinander zu tun hatte…egal. Funktionier. Hast Du eine Ahnung was das sollte? Auf meiner Seite ist alles kostenlos - d.h. da gibt es keine Kreditkarten Daten zum Abgreifen…
Danke nochmal - Gruß Jo
Hallo Jo,
soweit ich den Hack verstanden habe, besteht das Ziel darin, Ads im Blog zu platzieren, die der Hacker dann abrechnen kann.
Mehr weiss ich im Moment auch nicht. Ich bin ein bisschen enttäuscht von Wordpress, da immer wieder Probleme auftauchen. Ich glaube es ist am Ende am sichersten, die gesamte Wordpress-Installation so einzurichten, dass der Benutzer unter dem die PHP-Skripte laufen, kein Schreibrecht auf die Installation haben.
Viele Grüße,
Patrick
Hi Patrick, das gleiche Problem fand ich in meinem Bautegbuch Blog. Habe das Script wie von Dir wunderbar beschrieben, aus der header.php entfernt, nun ladet die Seite auch wieder viel schneller.
Was ich leider nicht ganz verstehe ist Deine Info mit “sudo chmod a-w header.php”.
Mir fehlen da die Fachkenntnisse - das zu verstehen…
Ich kann mit meinem FTP die CHMOD für jede Datei ändern, aber was ist nun “sudo chmod a-w”. Welche Rechte sind das genau und wie gehts das?
Danke für Deine Hilfe.
Hallo Patrick,
auch ich danke herzlich für die Hilfe in Sachen “itsallbreaksoft”. Auch mein Blog hatte diese Hacker-Attacke erduldet und mit deinem Hinweis habe ich die Sache regeln können. Die Seiten laden jetzt auch deutlich schneller … aber ich bin immer noch verunsichert. Klick doch bitte mal auf meine Seite, wenn du gerade einen Moment Zeit hast. Meldet sich da dein Virenschutzprogramm und: Ist das Tempo des Ladens akzeptabel?
Wäre für einen Hinweis sehr dankbar
Peter
Fajna stronka lecz dla polepszenia skutecznosci i reklamy zapraszam do skorzystania z naszej oferty np: Projektowanie stron www na pewno jestesmy konkurencyjni.
шлюхи арзамаса
индивидуалки хабаровск
воронежские индивидуалки
досуг в ростове