WordPress 3.0.1 – Massenhack -> 16MB RAM

Seit dem 23. Oktober ca. 10:30 Uhr funktionierten einige meiner Blogs nicht mehr. Es hat den Anschein, als würden mir nur noch ca. 16MB RAM für zur Verfügung stehen. Dieses Phänomen betrifft nicht nur meine Blogs.

Fehlermeldung/Symptome

PHP Fatal error: Allowed memory size of 16777216 bytes exhausted

Das erstaunliche daran: Nur die WordPress-Installationen waren davon betroffen. Jedes andere Script hatte auf den gesamtem RAM Zugriff. Die Fehlersuche am Server verlief ohne Erfolg.

manipulierte Template-Dateien

Die Lösung war im Theme-Ordner von WordPress zu finden.

/wp-content/themes/theme-name/

Hier sind einige Dateien am 23.Oktober 2010 gegen 10:31 Uhr geändert wurden. In einem Blog war es dort noch mal in einem Unterordner. Öffnet man eine solche Datei findet man in der ersten Zeile (hier stark gekürzt):

<?php $mad = array("4_decode","base6"); .....

Betroffene Dateien bei mir (verschiedene Blogs):

  • single.php
  • archive.php
  • index.php
  • funktions.php
  • /inc/p2.php

Die Änderungen selbst erfolgten wohl über die /wp-admin/theme-editor.php – ganz normal über Port 80. Und dies ist das verwunderliche.

  • Hat jemand mein Passwort herausbekommen?
  • Kann man auf die theme-editor.php irgendwie extern zugreifen?

Neue User mit Adminrechten

Ich habe in meinen Blogs neue User mit Adminrechten entdeckt. Diese sollten natürlich entfernt werden. Diese Accounts zu finden ist nicht weiter schwer – sie haben Adminrechte ^^

Bleibt abzuwarten, ob dies ein WordPress Sicherheitsleck ist.

Sofortmaßnahmen

Links zum Thema WordPress Sicherheit

Ein Gedanke zu „WordPress 3.0.1 – Massenhack -> 16MB RAM“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.