JavaScript Wordpress Hack rückgängig machen

(Bier)Kelle

(Bier)Kelle

BackRoad Fahrer
ID: 1297
L
28 April 2006
6.829
507
Nabend zusammen,

bei ner Bekannten wurde ihr Wordpress "gehacked".
Ursache dürfte ne alte Version von WP gewesen sein.

- im WP Titel wurde ein kryptischer String eingefügt
- Zeitzone umgestellt
- Zeichensatz umgestellt

Im wesentlichen ist es ein Defacement.

Zeitzone und Zeichensatz geradebiegen war kein Thema, den Titel konnte ich auch anpassen, aber:

Das Defacement bleibt, scheint aber irgendwie JS basierend zu sein - schalte ich js im Browser ab, komme ich ganz normal auf den Blog drauf.

Der kryptische String enthält die verlinkten Bilder/Videos, Text etc.
Wenn ich mir die Sourcen der angezeigten Datei anzeigen lasse, finde ich erstmal nichts verdächtiges.

Wie kann ich am dümmsten rauskriegen, wo das js versteckt ist?

gruss kelle!
 
Zu trivial. :mrgreen:

Was ich grad nicht klar kriege:
Lass ich mir den Seitenquelltext anzeigen, steht da nix von nem verlinkten Video - ich seh es aber.
Wie funzt denn sowas?
Nach dem Quelltext zu gehen,müsste da der ganz normale Blog zu sehen sein.

gruss kelle!
 
(Bier)Kelle schrieb:
Lass ich mir den Seitenquelltext anzeigen, steht da nix von nem verlinkten Video - ich seh es aber.
Wie funzt denn sowas?
Zum Vergrößern anklicken....
Welcher Quellcode? Bei Firefox macht es einen Unterschied, ob du im Kontextmenü "Seitenquelltext anzeigen" wählst (zeigt dir den ursprünglichen Code = was du vom Server geladen hast) oder über "Auswahl-Quellcode anzeigen" gehst (zeigt dir den Code des DOM-Trees, wie er grade im Moment ist; das schließt auch Manipulationen durch JavaScript ein).

Ein Link muss nicht 1:1 im Quellcode stehen. Sowas kann auch zusammengebaut sein.

Anderer Ansatz statt Suchen:
Vergleich doch den Code auf dem Server mit dem Code, den ein Original-Wordpress hat. Wenn nix oder nur sehr wenig geändert wurde, kannst du mit einem Diff Manipulationen durch den Hack aufspüren.
 
So, erledigt - danke für die Hilfe.

Da hat wohl einer nen Widget modifiziert/hinzugefügt, wo es dann losging mit:

Code: 
<script>document.documentElement.innerHTML = unescape('

Das rausgehauen und alles funzt wieder.

gruss kelle!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben