{"id":705,"date":"2009-02-01T23:52:31","date_gmt":"2009-02-01T22:52:31","guid":{"rendered":"http:\/\/www.thetawelle.de\/?p=705"},"modified":"2009-02-02T21:56:14","modified_gmt":"2009-02-02T20:56:14","slug":"warnung-vor-gehacktem-wordpress","status":"publish","type":"post","link":"https:\/\/www.thetawelle.de\/?p=705","title":{"rendered":"Warnung vor gehacktem WordPress!"},"content":{"rendered":"<p><a href=\"\/wp-upload\/remv_v2.png\"><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-upload\/remv_v2.png\" alt=\"remv_v2\" title=\"remv_v2\" width=\"300\" height=\"185\" class=\"alignright size-full wp-image-716\" \/><\/a>Soeben habe ich durch Zufall feststellen k\u00f6nnen, dass meine <strong>Bloginstallation gehackt<\/strong> war, und zwar schon ganz sch\u00f6n lange!!! Jetzt wird mir auch endlich klar, warum ich immer wieder Probleme mit dem Google-Index hatte.<\/p>\n<p>Ich kann nur dringend allen WordPress-Nutzern empfehlen, die noch nicht auf WP 2.7 upgraded haben, dies schleunigst zu tun. Eine Datei mit dem Namen <code>remv.php<\/code> habe ich in dem Ordner <code>wp-content\/themes\/<\/code> entdeckt. Diese erlaubt ausschlie\u00dflich dem Angreifer von der entsprechenden IP-Adresse den gesamten Rechner zu steuern \u00fcber eine sehr <a href=\"http:\/\/tinyurl.com\/aq5fxc\">leistungsf\u00e4hige PHP-Konsole<\/a> eines russischen Softwareentwicklers. Man kann damit <strong>Dateien \u00e4ndern, l\u00f6schen und neu anlegen<\/strong>. Der Angreifer nutzt diese Konsole, um die Theme-Seiten des Blogs zu ver\u00e4ndern und dort Werbespam einzuf\u00fcgen. Ganz sicher wird es das nicht manuell tun, sondern ferngesteuert durch eine clevere Software.<\/p>\n<p>Darauf gekommen bin ich durch diese <strong>Fehlermeldung<\/strong> in meinem WordPress auf  der <strong>Plugin-Seite<\/strong>:<br \/>\n<center><a href=\"\/wp-upload\/remv_error_plugin.png\"><img loading=\"lazy\" decoding=\"async\" src=\"\/wp-upload\/remv_error_plugin-300x77.png\" alt=\"remv_error_plugin\" title=\"remv_error_plugin\" width=\"300\" height=\"77\" class=\"aligncenter size-medium wp-image-707\" srcset=\"https:\/\/www.thetawelle.de\/wp-upload\/remv_error_plugin-300x77.png 300w, https:\/\/www.thetawelle.de\/wp-upload\/remv_error_plugin.png 623w\" sizes=\"auto, (max-width: 300px) 85vw, 300px\" \/><\/a><\/center><\/p>\n<p>Vor einem Monat hat <strong>Jason Cosper<\/strong> eine <a href=\"http:\/\/jasoncosper.com\/archives\/wordpress-remvphp-and-you\/\">Anleitung ver\u00f6ffentlicht<\/a>, wie man diesen Angriff abwehrt, sofern man betroffen ist. Als erstes sollte man schleunigst die Datei <code>remv.php<\/code> entfernen. Und dann sofort auf WP 2.7 upgraden.<\/p>\n<p><small><strong>Why do I blog this?<\/strong>  Ich halte mich f\u00fcr nicht gerade v\u00f6llig bl\u00f6d, was Softwareinstallationen angeht. Ich habe seit Monaten Probleme mit der Listung im Google Index gehabt, weil ich angeblich Spam-Inhalte verbreite. Ich habe diese Spam-Inhalte einmal genau gesehen und h\u00e4ndisch aus einem Template entfernt und habe alles akribisch abgesucht, wo diese \u00c4nderung wohl herkam. Jetzt habe ich es gemerkt, nachdem ich auf WP 2.7 upgraded habe und die Hackersoftware, die sich scheinbar als Plugin tarnen kann einen Fehler bei den Zugriffsrechten hervorrief.<\/small><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Soeben habe ich durch Zufall feststellen k\u00f6nnen, dass meine Bloginstallation gehackt war, und zwar schon ganz sch\u00f6n lange!!! Jetzt wird mir auch endlich klar, warum ich immer wieder Probleme mit dem Google-Index hatte. Ich kann nur dringend allen WordPress-Nutzern empfehlen, die noch nicht auf WP 2.7 upgraded haben, dies schleunigst zu tun. Eine Datei mit &hellip; <a href=\"https:\/\/www.thetawelle.de\/?p=705\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eWarnung vor gehacktem WordPress!\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[],"class_list":["post-705","post","type-post","status-publish","format-standard","hentry","category-breaking-news"],"_links":{"self":[{"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/posts\/705","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=705"}],"version-history":[{"count":0,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=\/wp\/v2\/posts\/705\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.thetawelle.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}