Nach dem Hochladen einiger neuer Fotos in die Joomgallery (Version 1.5.7.5) stellte ich fest, dass die Detailansicht der Bilder nicht funktionierte. Das ist schon öfter vorgekommen und lag meistens daran, dass ein Plugin in Joomla Probleme machte. Die Jungs von Joomgallery.net haben das hier detailliert beschrieben.
Ich prüfte nun alle Plugins und konnte diese Ursache ausschließen. Ein Post im Joomgallery-Forum brachte mich auf die richtige Spur. http://www.forum.joomgallery.net/index.php/topic,4524.msg22915.html#msg22915
Tatsächlich befand sich auch in meiner index.php (und allen anderen php-Dateien im Verzeichnis der Webseite der angesprochene Schad-Code:
<?php
$md5 = "8a0ddcd4d228….52";
$wp_salt = array("z",’….);
$wp_add_filter = create_function(‚$‘.’v‘,$wp_salt[3]……);
$wp_add_filter(‚DZZHroRY…….wf/7999///h8=‘);
?>
Der Virus bzw. die Malware nennt sich "!SShell v. 1.0 shadow edition!" und scheint bevorzugt WordPress-Systeme zu kompromittieren.
Was tun?
1. Seite offline stellen.
2. Alle Passwörter ändern (Adminzugang, mySQL und FTP)
3. letztes Backup prüfen, ob es auch infiziert ist
4. letztes Backup einspielen
Was tun wenn kein Backup vorhanden oder kein nicht-infiziertes Backup mehr vorhanden ist?
1. Backup erstellen mittels Backupkomponenten (z.B. Akeeba) oder Datenbank und FTP-Inhalt kopieren
2. cleaner-script von http://www.php-beginners.com/solve-wordpress-malware-script-attack-fix.html downloaden, entpacken und in den Ordner mit der infizierten Seite legen
3. Script über "doamin.de/cleaner_2.3.php" im Browser aufrufen, die Dateien im Verzeichnis auf dem Server werden gesäubert.
4. Infektionsquelle suchen: Bei mir fand ich im Ordner "modules" ein Modul names "WP Thumb Creator" und es gab ein entprechenden Ordner dazu.
5. Modul deinstallieren
6. der php.ini folgendze Zeile hinzufügen: "disable_functions = create_function,gzinflate,eval,base64_decode"
Inhalt des Moduls:
<?xml version="1.0" encoding="iso-8859-1"?>
<install type="module" version="1.5.0">
<name>WP Thumb Creator</name>
<author>Will Smith</author>
<creationDate>February 2001</creationDate>
<copyright>(C) 2001</copyright>
<license>http://www.gnu.org/copyleft/gpl.html GNU/GPL</license>
<version>1.0</version>
<description>A module that says hello</description>
<files>
<filename>mod_wp.xml</filename>
<filename module="mod_wp">wp-thumb-creator.php</filename>
</files>
<params />
</install>
Für mehr Informationen lest hier:
Es gibt auch Informationen auf eine fehlerhafte Version von Tiny MCE, einen Joomlaeditor als Quelle (http://wordpress.org/support/topic/warning-tinymce-exploit) ich werden den Editor vorsichtshalber löschen.