die Hacker haben es mal wieder geschafft, auch beim angeblich sichersten Provider in mein Forum http://www.chronische-infektion.de reinzukommen
Sieht so aus, als wenn sie eine neue wordpress 3-installation genutzt haben, um in mein webpack reinzukommen, jedenfalls gehören sämtliche Dateien davon zu diesen "nobody"-Dateien, die der Provider mir zusammengestellt hat.
Darüberhinaus haben die Hacker auch .htaccess-Querverbindungen zu meinen anderen domains erstellt, die in diesem webpack liegen.
Das wordpress habe ich gelöscht, alle betroffenen Dateien, die dieser "nobody" angelegt hat, erstmal umbenannt.
Ansonsten sind cache/sql-Dateien aufgeführt in der Liste sowie die cache/data_role_cache.php und eine files/53_ec574ee5e7b533bb610b19408de39c63 und die letzten drei store/backup-Dateien.
dann ist noch eine wp-rdf php-script aufgeführt mit folgendem Inhalt:
<?php
/**
* Redirects to the RDF feed
* This file is deprecated and only exists for backwards compatibility
*
* @package WordPress
*/
require( './wp-load.php' );
wp_redirect( get_bloginfo( 'rdf_url' ), 301 );
?>
Ein Blick in die mysql-Datenbank des Forums zeigt, dass da einiges nicht mehr stimmt.
Da ich kein Datenbankfachmann bin, hätte ich dazu folgende Fragen zu Auffälligkeiten z.B. bei Anonymous, den Usern mit Adminrechten, zwei bots und 3 Usern des Forums, deren Kenntnisse die Hacker insbesondere interessieren dürften:
in der Tabelle php_users, Feld users_permissions:
Ich verstehe nicht, was da die BLOB-Werte bedeuten: In der Regel steht bei sämtlichen anderen immer ausnahmslos [BLOB - 0 Bytes] - nur bei den o.g. nicht, da steht bei den obengenannten [BLOB - 856 Bytes] und bei den beiden Bots [BLOB - 838 Bytes]
Im Tabellenfeld stehen ewig lange scripte mit Zahlen, habe copy und paste in word gemacht, sind 4 Seiten, aber mit großen Abständen.
die fangen so an:
00000000005ll2r0w0
lj1jh0000000
lj1jh0000000
lj1jh0000000
oder bei admins so
zik0zjzik0z1zik05c
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
zik0zjzhb2tc
und gehen dann ziemlich lang so weiter.
Kann mir jemand sagen, wie diese Einträge im Feld Wert bei user_permissions zustande kommen? Werden die irgendwie automatisch erzeugt oder gehören die zu den Hackerscripten?
bei den usern kann ich diese teilweise löschen, nützt aber anscheinend nicht viel, heute morgen waren sie bei 3 anderen usern wieder drin, bei anonymous, den beiden bots und den 2 admins kann ich löschen, aber es wird nicht gespeichert.
In der Vergangenheit ist mir immer wieder aufgefallen, dass Anonymous sich auffällig verhält, er macht Sachen wozu er eigentlich Mod.oder Admin-Rechte benötigen würde. Habe heute gesehen, das seine Rechte auch alle auf nein gestellt waren, war mir sicher, dass er ursprünglich auf nie stand und anonymous befand sich in der Gruppe der inaktiven User!
