Womit man so seinen Nachmittag verbringen kann. Alles fing damit an, da\u00df der GeoURL Button unten rechts nicht mehr funktionierte. Die Tags waren drin, also an was konnte es liegen? Der GeoURL Support schlug vor, doch mal den W3 Validator auszuprobieren. H\u00e4? Ich verwende doch Software von der Stange, aber warum nicht.. und siehe da, der Validator sagt, er k\u00f6nne mit Content-Type null nichts anfangen. Ich schaue in den Header des Themes, der Content-Type wird explizit gesetzt, genauso wie im Quellcode der Seite. Doch irgendwas ist komisch mit dem header.php..
\nDann sehe ich es: In der ersten Zeile steht was v\u00f6llig merkw\u00fcrdiges: <\/p>\n
<?php \/**\/eval(base64_decode('aWYoZnVuY3Rpb25 ...<\/strong><\/p>\n Etwas primitive Tarnung, das Skript (ziemlich obfuscated) in einem Base64 String. Das wiederum rief ein in einem entlegen Winkel meiner Webseite plaziertes Skript auf, das wiederum eine 100kb Datei dekodierte und dann evaluierte. Was das genau tut habe ich noch nicht herausgefunden. Eins jedenfalls hat die Infektion geschafft: Alle meine PHP Seiten waren damit infiziert (.php5 Seiten aber nicht!) Das hatte anscheinend nichts mit WordPress zu tun. Dem \u00c4nderungsdatum zufolge war das bereits vor einem halben Jahr geschehen. Ich hatte nichts bemerkt! Zusammenfassung:<\/p>\n Links dazu aus dem Web, hier<\/a> und hier<\/a>. Peinlich wenn man sich anschaut wie alt das schon ist..<\/p>\n","protected":false},"excerpt":{"rendered":" Womit man so seinen Nachmittag verbringen kann. Alles fing damit an, da\u00df der GeoURL Button unten rechts nicht mehr funktionierte. Die Tags waren drin, also an was konnte es liegen? Der GeoURL Support schlug vor, doch mal den W3 Validator … Continue reading
\nWie das ganze hereingekommen ist wei\u00df ich leider noch nicht. Ich vermute, da\u00df es an der sehr alten WordPress-Version vom Blauen Heft<\/a> liegt, speziell den dort verwendeten Javascript Editor (in dessen Unterverzeichnis das \"Mutter-Skript\" untergebracht war).
\nIch mu\u00dfte das nat\u00fcrlich zum Anla\u00df nehmen beide Blogs auf WordPress 3.0 anzuheben, alle anderen PHP Skripte manuell zu bearbeiten und mal wieder kr\u00e4ftig aufzur\u00e4umen. Aufr\u00e4umen ist ja immer eine super Sache. Man mu\u00df es nur ab und zu tun. Danach funktionierte auch der GeoURL Knopf wieder.<\/p>\n\n