[Wordpress] Casino-Werbung

Jump to last post
A

accC

gesperrt
Registriert
14 Juli 2013
Beiträge
3.384
Hey Leute, ich betreibe schon seit längerem einen Wordpress-Blog. (selbst gehostet)


Wordpress läuft in der Version 3.5.2

Ich nutze folgende Plugins:
* AJAX Thumbnail Rebuild 1.08
* Cartpauj PM 1.0.10
* Facebook All 1.1
* Google Analytics 1.0.5
* Google Maps by Daniel Martyn 1.0
* IMDb link transformer 2.1.8
* JW Player 6 Plugin for Wordpress 2.1.1
* Metronet Profile Picture 1.0.20
* Mingle Forum 1.0.34
* Quick Chat 4.12
* SEO Ultimate 7.6.1
* WP-Polls 2.63
* WP Simple Rss Feed Reader 0.6.3
* WP YouTube Embed Plugin 1.0
* XML Sitemap & Google News Feeds 4.2.3

Als Design kommt dieses hier zum Einsatz:
* Pinboard 1.0.9

Normalerweise versuche ich immer das komplette System aktuell zu halten.
Sprich: Mehr als 1 Tag liegt idR nicht zwischen den Updates.

Der Blog mit Domain läuft erst wenige Monate.
Insgesamt läuft das Teil aber schon seit ca einem Jahr.

Gestern habe ich mehr zufällig als bewusst bemerkt, dass ein Casino-Link auf der Seite auftaucht, der eigentlich nicht dort hin gehört.
Da der Link eingefrickelt aussieht (er wird im eigentlich head-Bereich der Seite im Quellcode eingefügt), nehme ich nicht an, dass das bewusst über eines der Plugins eingebrachte Werbung ist, sondern eine Schwachstelle ausgenutzt wurde.

HTML:
Expand Collapse Copy 
<script type='text/javascript' src='http://www.---.de/wp-content/plugins/facebookall/assets/js/fball_connect.js?ver=1.0.0'></script>
<p align="left"><a href="http://www.bingo-sites.org.uk/jackpotjoy/4573081870">http://www.bingo-sites.org.uk/jackpotjoy/4573081870</a></p>
<script type="text/javascript">

Wird die Seite neu geladen, verschwindet die Casino-Werbung auch wieder und taucht dann, zumindest soweit ich das beurteilen kann, auch erst mal eine ganze Weile nicht mehr auf.

Über google habe ich jetzt nicht gerade viel finden können. Weiß vielleicht von euch jemand an welchem Plugin konkret es hängt?
 
Zuletzt bearbeitet:
Das könnte leider überall drin sein. :(
Hast du schonmal in der header.php deines Themes nachgeschaut?
Sonst einfach mal ein komplettes Backup ziehen und alle Dateien nach der URL durchsuchen, sofern du das nicht schon gemacht hast.
 
hast du addons, die 'eigentlich' gekauft werden müssen? wenn ja, würde ich die mal weglassen, liegt nicht selten daran.
 
Mir ist auch mal sowas passiert, dass sogar trotz deaktiverten Kommentaren, Spamkommentare hinterlassen werden konnten.
Wenn Wordpress kompromitiert wurde, bleibt dir nix übrig, als Datenbankbackup und Wordpress komplett neu aufsetzen.
 
  • Thread Starter Thread Starter
  • #6
Palatinum schrieb:
hast du addons, die 'eigentlich' gekauft werden müssen? wenn ja, würde ich die mal weglassen, liegt nicht selten daran.
Zum Vergrößern anklicken....
Afaik sind die Plugins alle kostenlos. Außer dass man für die Autoren teilweise spenden kann. Also nein, ich habe keine Plugins benutzt, die "gecrackt" sind o.ä.
Die sind alle über wordpress.org bezogen (bzw. über das Pluginverzeichnis in der Wordpress-Software selbst)

StaTiC schrieb:
Mir ist auch mal sowas passiert, dass sogar trotz deaktiverten Kommentaren, Spamkommentare hinterlassen werden konnten.
Wenn Wordpress kompromitiert wurde, bleibt dir nix übrig, als Datenbankbackup und Wordpress komplett neu aufsetzen.
Zum Vergrößern anklicken....


godlike schrieb:
Verschwindet der Link wenn du "Facebook All" mal testweise deaktivierst?
Zum Vergrößern anklicken....
Das Problem war ja, dass der Link nur "kurz" angezeigt wurde und beim Reload der Seite ohnehin erst mal weg war.
Hatte das abends erstmalig bemerkt, dass da wohl ein Fehler ist, hatte zunächst gar nicht so genau gelesen, was da nun stand und beim Reload wars dann weg.
Erst am nächsten Tag, als ich die "Meldung" genauer angesehen hatte, habe ich gesehen, dass das Casino-Werbung ist. Plugins zu deaktivieren und zu warten, ob eventuell noch mal ein Link auftaucht (ich weiß ja nicht, in welchem Zyklus die ungefähr auftauchen), wollte ich nicht. Meine Vermutung ist zwar auch, dass es über das Facebook-Plugin gekommen ist, das war das letzte Plugin, das ich installiert hatte alle anderen waren schon etwas älter und die Werbung wird ja auch unmittelbar hinter Facebook All eingebunden.
Na ja jetzt ist es eh erst mal zu spät, wollte ein potentiell kompromitieres System nicht unnötig lange laufen lassen und habe die komplette Seite neu aufgesetzt.
Allerdings, sofern jemand Lust hat, könnte ich Plugins / Theme etc zur Analyse zur Verfügung stellen.. Da wenigstens mal rein schauen wollte ich ohnehin, allerdings fehlt mir im Moment einfach die Zeit dazu.
 
Hallo hab die seite hier gerade über Google gefunden, hatte genau die gleiche Werbung auf meine Wordpress Seite.

Bei mir lag es an dem "Google Maps by Daniel Martyn 1.0" Plugin.

Bei mit war die Werbung in der version.php
"wp-content\plugins\google-maps-by-daniel-martyn"

PHP:
Expand Collapse Copy 
<?php
$ip = $_SERVER['REMOTE_ADDR'];
$filename = $_SERVER['DOCUMENT_ROOT'] . '/wp-content/plugins/google-maps-by-daniel-martyn/inuse.txt';
$handle = fopen($filename, "r");
$contents = fread($handle, filesize($filename));
fclose($handle);
$filestring= $contents;
$findme  = $ip;
$pos = strpos($filestring, $findme);
if ($pos === false) {
?>
<p><a href="http://www.bingo-sites.org.uk/jackpotjoy/4573081870">www.bingo-sites.org.uk/jackpotjoy/4573081870</a></p>
<?php //
} else {
echo '';
}
?>

Frag mich nun wie das da rein gekommen ist. Schachstelle auf meine Seite oder durch ein Korrumpiertes Plugin Update?
 
@scenic:

Da das Plugin nicht mehr auf der offiziellen Plugin-Seite von Wordpress zu finden ist, schätze ich mal, es liegt am Plugin an sich. Wie so oft.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben