dear joerg & valentin
- - - valentin
On 08.09.2012, at 21:24, Jörg Linder wrote:
> @Valentin kannst du die Situation nochmal nachstellen die bei dir dazu geführt hat dass du einen Virenbefall vermutet hast? (ich hoffe das war jetzt verständlich ...)
kannst du irgendwie den befall eingrenzen auf einen post? bzw auf eine url?
und gibts ne moeglichkeit, den befall bei dir (oefters) zu reproducen?
dann koennten wir uns das genauer anschauen und ausporbieren, was es war
- - - joerg
On 08.09.2012, at 21:24, Jörg Linder wrote:
> Es gäbe auch noch zumindest ein weiteres Plugin welches wir einsetzen könnten, allerdings brauchen wir auch dazu eine neuere Wordpress-Installation ... :/
> Werd mal bei Tom nachfragen.
ich dachte mir, wir gehen mit dem testdrive folgendermassen vor
a.) die alte installation -- ich nenn sie inst0 -- die dzt auf
http://frustikus.at rennt, bleibt vorerst
b.) mit dem testdrive -- inst1 -- auf
http://testdrive.frustikus.at/ spielen wir so lange, bis der gut funkt, virenfrei ist und moeglichst keinen unnoetigen schrott weder in der db noch in der wordpress-installation hat
c.) dann wird inst0 zu http.//
outdated.frustikus.at, inst1 zu
http://frustikus.at
d.) ich mach eine kopie von inst1, die wird der neue testdrive, mit dem kann man dann wieder herumprobieren
> ich hab mich heute schlau gemacht und ein Antivirus-Plugin für Wordpress installiert (ja, das gibt's wirklich ...).
> Es hat auch angeschlagen und einige verdächtige Code-Zeilen gefunden (siehe screenshot_virusbefall_1.gif).
>
> Ein paar Zeilen deren Funktion ich mir nicht erklären konnte hab ich gelöscht, das Ergebnis nach dem erneuten Scan seht ihr in screenshot_virusbefall_2.gif.
hae? "verdaechtiger" code in den theme-templates?
wenn wirklich dort neuer code reingekommen ist dann haben wir ja den a**** offen, das hiesse ja, dass jemand admin-zugang zu dieser wordpressinstallation haette?
viel wahrscheinlicher ist imho, dass viren beim file-upload (bild) reinkommen bzw beim text-post, dh dass wir in der mysql-db suchen sollten bzw im upload-folder
ich schlage vor (das bezieht sich jetzt alles auf inst1/testdrive)
1.) wir loeschen mal alle unnoetigen files aus den theme-templates
2.) schauen jedes template haendisch an
3.) und ziehen dann -- wenn wir denken, dass die templates clean sind -- eine kopie irgendwohin lokal, um spaeter damit vergleichen zu koennen
dann kommt der upload-folder dran
4.) alle bildchen und andere medien (gibts solche?) auf viren checken
und nun die plugins
5.) alle unnoetigen deinstallieren
6.) alle noetigen updaten
und dann die mysql-db
5.) alle posts checken
6.) "unnoetige" user loeschen
7.) usw
und nun endlich sollten wir b.) erledigt haben und koennen bei c.) weitermachen
was meint ihr dazu?
a bienTom