xtc modified / Wordpress gehackt. Oder Webspace?

[helifan]

Hi,
ich habe bei einem Anbieter 2 Webspace-Pakete mit jeweils 10 Webadressen. Dort sind im Wesentlichen Wordpress-Blogs gehostet, und 2 weniger wichtige Shops.
Am Sonntag ist zum dritten mal "eingebrochen" worden. Die ersten beiden male eindeutig meine Schuld, hatte uralte Wordpress-Versionen laufen. Aber nach dem zweiten Mal hatte ich alles aktualisiert. Wahrscheinlich aber eine Date der unbekannten Spammer übersehen, was dann zum dritten Hack führte.
Was mich aber dieses Mal gewundert hat: es waren verdächtige Dateien über den gesamten Speicherplatz, auch in den Shops, verteilt.
Können die über Wordpress auf den Webspace zugegriffen haben? Oder gibt es in XTC.modified auch Probleme? Wenn ja, was muß ich an der Shopsoftware ändern? (Suche hat nichts ergeben)
Die Dateien aus dem XTC habe ich gesichert, wer möchte, kann ein zip haben.

Danke und Gruß
Roland

[beat]

Hallo,

du hast auch geprüft das die Ursache nicht auf deinem PC zu suchen ist bzw. auf irgendeinem PC der Zugriff auf den Shop hat?
Da reich es schon aus wenn man FileZilla nutzt und die PW aus einer .xml auslesen kann.

Gruß

[HPB]

Das hatte ich vor ein paar Wochen bei Hosteurope auch. Bei mir waren 3 Joomla Installationen, 3 Wordpress-Blogs und 1 GambioGX betroffen. Fast alles was mit Java zu tun hatte war verseucht. Da war auch nichts mehr zu retten und ich musste alles löschen.

[Xantiva]

Die ersten beiden male eindeutig meine Schuld, hatte uralte Wordpress-Versionen laufen.
...
Wahrscheinlich aber eine Date der unbekannten Spammer übersehen, was dann zum dritten Hack führte.

Woher weißt Du dass es die Wordpress Versionen oder eine vergessene Datei waren? Hast Du die drei Eindringwege zurückverfolgt?

Ciao,

Mike

[gegangen]

Ich hatte in einem Wordpress-Template einen Bösewicht drin. Das Biest hat sich immer mal wieder in 2 Dateien vom templates_c-Verzeichnis vom Shop eingenistet und damit zum Glück nur den Shop gekillt. Kam nur eine weiße Seite.
Mit fgrep wurde der Code in Wordpress gefunden und entfernt. Seitdem ist Ruhe.

[||CoDer||]

xtcModified könnte durchaus die Quelle des Übels sein. Man müsste die Angriffe aber exakt
nachverfolgen, um die Lücke im System zu finden, welche für den "Einbruch" benutzt wurde.
Ich habe vor mehr als einer Woche eine Liste mit Schwachstellen an die Entwickler geschickt
und heute erneut nach dem Stand der Dinge gefragt. Allerdings ist noch nicht klar, was genau
nun dort passiert. Die Behandlung der Problematik ist aus meiner Sicht - sagen wir mal - etwas
unpraktisch. Aber Details möchte ich im Moment nicht an die Öffentlichkeit dringen lassen.
Ich werde da nun noch ein klein wenig Geduld aufbringen und bei Bedarf eine öffentliche
Warnmeldung verfassen, sofern die Schwachstellen tatsächlich erst mit dem nächsten
Servicepack beseitigt werden und auf ein gesondertes Sicherheitsupdate verzichtet wird.
Denn das wäre dann nicht im Sinne der Nutzer.

[Hacker Solutions]

Hallo zusammen,
bisher ist uns kein Fall bekannt, bei dem die genannten Sicherheitslücken von Heiko auf xtcModified Shopsysteme angewendet wurden.
Die Lücken sind schon gefixt und werden in dem nächsten Servicepack, welches hoffentlich in den nächsten Tagen rauskommt gefixt.
Wenn es wirklich eine xtc-Lücke sein sollte die hier ausgenutzt wurde, wären die Dateien hauptsächlich in den xtcModified-Verzeichnissen.
Ich tippe hier aber eher auf Filezilla, die Aussagen des T'hreaderstellers sprechen für einen verseuchten Windowsrechner.

Besten Gruß

h-h-h

[helifan]

Der Rechner ist sauber, mehrmals kontrolliert. Der Einbruch ist über eine vergessene WP-installataion erfolgt. Habe nun eine Multi-Domain-WP Installation begonnen, damit sich der Pflegeaufwand in Grenzen hält. Alle Blogs zu aktualisieren hat bisher wirklich fast einen Tag gedauert. Zum Glück sind alle Datenbanken noch da. Hoffentlich schimpft Google nich so dolle....
Gruß
Roland