Gestern abend ist auf eine bisher noch unerklärliche Art und Weise meine Webseite gehackt worden. Aufgefallen ist es mir, weil ich plötzlich einen Fehler in der Datei classes.php im wp-includes Ordner hatte, der wenige Stunden zuvor nicht da war. Auf der Suche nach der Fehlerquelle bin ich dabei auf die Datei class-mail.php gestossen, die im selbigen Verzeichnis plötzlich neu war und nicht zur ursprünglichen Wordpressinstallation gehört.Ausserdem wurden die Dateien general-template.php und comment-template.php modifiziert.
Der Inhalt der class-mail.php Datei sieht wiefolgt aus : <?php $wparr=unserialize(base64_decode("verschlüsselterInhalt")
Was genau die Datei also machen soll kann ich nicht sage, da sie verschlüsselt ist. Aber ich befürchte, dass sie unmittelbar dem versenden von SPAM dien. Weiß vielleicht jemand, ob und wie man den Inhalt der Datei entschlüsseln kann?
Was mich am Meisten an dieser Aktion wundert ist die Tatsache, dass die Berechtigungen der Dateien und der Verzeichnisse durchaus den Anforderungen von Wordpress entsprachen. Die Frage stellt sich also, wie es denn möglich gewesen ist, die Dateien zu modifizieren, bzw neu zu erstellen.
Mittlerweile habe ich diese auch ans WP-Team geschickt, in der Hoffnung, dass sie die Sicherheitslücke finden und schießen können.
Da es bei 3 unterschiedlichen Blogs passiert ist und alle auf Version 2.3.1 upgedated waren, kann ich jedem nur empfehlen hin und wieder ins wp-includes Verzeichnis zu schauen, um zu überprüfen, ob dort Dateien modifiziert oder neu erstellt wurden.