nimda
- Ersteller magan
- Erstellt am
- Beiträge
- 589
- Punkte
- 28
- Beiträge
- 1.702
- Punkte
- 63
ich hatte bei vielen wordpress-blogs jeweils einen komischen user namens nimda drinnen - habe vom blog keine user-registrierung erhalten und der hat sich anscheinend selber freigeschalten...
dann habe ich in der plugins-verwaltung ebenfalls seltsame veränderungen - d. h. es sind plugins drinnen die ich nicht bestellt habe bzw. wenn ich die per interface löschen will dann werden andere plugins mit gelöscht.
das irrwitzigste aber ist dass diese nicht bestellten plugins im plugin-ordner gar nicht vorhanden sind - habe mir da schon einen wolf gesucht wie die reingekommen sind aber da müsste ich root-zugriff haben denn das zeugs kann ja auch im server untergebracht sein. mit ftp komme ich da nicht sehr weit und musste aufgeben.
habe als notlösung mal die xmlrpc.php entfernt und die user rausgenommen die ich nicht kannte - das mit den plugins habe ich (noch) nicht lösen können... :x
dann habe ich in der plugins-verwaltung ebenfalls seltsame veränderungen - d. h. es sind plugins drinnen die ich nicht bestellt habe bzw. wenn ich die per interface löschen will dann werden andere plugins mit gelöscht.
das irrwitzigste aber ist dass diese nicht bestellten plugins im plugin-ordner gar nicht vorhanden sind - habe mir da schon einen wolf gesucht wie die reingekommen sind aber da müsste ich root-zugriff haben denn das zeugs kann ja auch im server untergebracht sein. mit ftp komme ich da nicht sehr weit und musste aufgeben.
habe als notlösung mal die xmlrpc.php entfernt und die user rausgenommen die ich nicht kannte - das mit den plugins habe ich (noch) nicht lösen können... :x
alli
User
- Beiträge
- 296
- Punkte
- 0
hi,
wenn du den "readme.eml" auf deinem server hast, unbedingt löschen. den hatte ich auch mal drauf, allerdings habe ich das wohl noch rechtzeitig gemerkt und mein provider hat mir da geholfen.
unbedingt solltst du auch die header.php, footer.php usw. kontrollieren, alles was da nicht reingehört löschen oder durch eine neue ersetzen. hatte da damals einen ziemliche mist an fremden links drin. auf zerstören haben die es wohl nicht angelegt, die wollen wohl eher von deinen seiten profitieren. hilfreich ist auch, wenn du eventuell noch ein altes, funktionsfähiges modem hast, habe damit meine seiten aufgerufen und konnte schön sehen was alles geladen wurde und nicht von mir ist. da hat die langsame geschwindigkeit doch auch mal vorteile
gruß alli
wenn du den "readme.eml" auf deinem server hast, unbedingt löschen. den hatte ich auch mal drauf, allerdings habe ich das wohl noch rechtzeitig gemerkt und mein provider hat mir da geholfen.
unbedingt solltst du auch die header.php, footer.php usw. kontrollieren, alles was da nicht reingehört löschen oder durch eine neue ersetzen. hatte da damals einen ziemliche mist an fremden links drin. auf zerstören haben die es wohl nicht angelegt, die wollen wohl eher von deinen seiten profitieren. hilfreich ist auch, wenn du eventuell noch ein altes, funktionsfähiges modem hast, habe damit meine seiten aufgerufen und konnte schön sehen was alles geladen wurde und nicht von mir ist. da hat die langsame geschwindigkeit doch auch mal vorteile
gruß alli
- Beiträge
- 1.702
- Punkte
- 63
von einer readme.eml habe ich nichts gefunden - allerdings scheint es so dass da versucht wurde aus meinen seiten nutzen zu ziehen
eine seite hatte bei der site-ausgabe von google so einen schrott drinnen:
nexium prescription buy propecia without prescription order accutane online buy cialis purchase lipitor buy cheap amoxil online order nolvadex online ...
im cache von google ist aber davon nichts vorhanden - anscheinend habe die schon ein neues image gezogen.
aber aus diesen komischen plugin-einstellungen werde ich immer noch nicht schlau - hier wurden die links, wenn man so ein seltsames plugin löschen will, umdekoriert und bei löschen entfernt man dann ein ganz anderes plugin wogegen das geister-plugin (ist ja im plugin-ordner nicht vorhanden!) dann als aktiviert drinnsteht.
ich krieg jetzt langsam so einen hals weil ich das nicht finde - es muss da also ein programm tiefer im verzeichnis werkeln an das ich nicht rankomme. eventuell hat da ja auch einer den server gehackt - ich kann das so nicht sagen weil es ja nur ein simpler webspace ist auf dem die blogs laufen.
eine seite hatte bei der site-ausgabe von google so einen schrott drinnen:
nexium prescription buy propecia without prescription order accutane online buy cialis purchase lipitor buy cheap amoxil online order nolvadex online ...
im cache von google ist aber davon nichts vorhanden - anscheinend habe die schon ein neues image gezogen.
aber aus diesen komischen plugin-einstellungen werde ich immer noch nicht schlau - hier wurden die links, wenn man so ein seltsames plugin löschen will, umdekoriert und bei löschen entfernt man dann ein ganz anderes plugin wogegen das geister-plugin (ist ja im plugin-ordner nicht vorhanden!) dann als aktiviert drinnsteht.
ich krieg jetzt langsam so einen hals weil ich das nicht finde - es muss da also ein programm tiefer im verzeichnis werkeln an das ich nicht rankomme. eventuell hat da ja auch einer den server gehackt - ich kann das so nicht sagen weil es ja nur ein simpler webspace ist auf dem die blogs laufen.
- Beiträge
- 1.702
- Punkte
- 63
na, vielleicht fange ich erst mal mit dem deaktivieren aller plugins an und dann wieder aktivieren - dann mal sehen was passiert...
diese ghost-plugins sollten dann verschwinden - hoffen wir es mal...
ansonsten mache ich einfach ein upgrade auf die neueste version - irgendwie ärgere ich mich dass diese wp immer angriffen ausgesetzt ist!
diese ghost-plugins sollten dann verschwinden - hoffen wir es mal...
ansonsten mache ich einfach ein upgrade auf die neueste version - irgendwie ärgere ich mich dass diese wp immer angriffen ausgesetzt ist!
- Beiträge
- 1.702
- Punkte
- 63
hab den dreck jetzt lokalisiert:
wenn sowas seltsames passiert dann nach einer datei mit der endung .old.php oder .cache.php in irgendeinem plugin-verzeichnis schauen dieses löschen!
als zusätzliches merkmal steht da eine jahreszahl 1970 - wenn das so ist dann weg damit!
im backend von wordpress gibt es unter plugins einen editor - hier das plugin wählen das nicht da sein sollte und oben steht dann schon in welchem verzeichnis sich der schädlich eingenistet hat.
und nicht vergessen die user in der datenbank zu bereinigen - also nicht im wordpress backend, sondern in der wp_users datenbank direkt!
ob jetzt die xmlrpc.php da einen begleitenden effekt hat kann ich so nicht sagen - jedenfalls habe ich keine negativen ergebnisse erhalten nachdem ich sie entfernt habe.
wenn sowas seltsames passiert dann nach einer datei mit der endung .old.php oder .cache.php in irgendeinem plugin-verzeichnis schauen dieses löschen!
als zusätzliches merkmal steht da eine jahreszahl 1970 - wenn das so ist dann weg damit!
im backend von wordpress gibt es unter plugins einen editor - hier das plugin wählen das nicht da sein sollte und oben steht dann schon in welchem verzeichnis sich der schädlich eingenistet hat.
und nicht vergessen die user in der datenbank zu bereinigen - also nicht im wordpress backend, sondern in der wp_users datenbank direkt!
ob jetzt die xmlrpc.php da einen begleitenden effekt hat kann ich so nicht sagen - jedenfalls habe ich keine negativen ergebnisse erhalten nachdem ich sie entfernt habe.
almalibertad
User
- Beiträge
- 751
- Punkte
- 0
Dank Dir magan ! Werde mal nachsehen, ist ja nicht so, das man sonst keine Arbeit hätte. Die dämlichen Blogs, alle paar Monate eine Attacke, ist schon sehr ärgerlich :24:
