PHP-Skript - seltsame email!

[bergheimer]

Hi,
ich hoffe mal, mir kann hier jemand weiter helfen. Ich habe eine email meines Webhosters (Goneo) bekommen, worin steht, dass auf meinem Account PHP-Skripte liefen, welche sehr viele Prozesse und vor allem auch lang andauernde Prozesse mit 100% CPU-Auslastung gestartet haben. Daraufhin wurde mein account gesperrt, d.h. meine Webseite ist zur Zeit offline. Ich habe keine Ahnung, was damit gemeint ist. Hier mal die email im Wortlaut:

"auf Ihrem Account liefen PHP-Skripte, welche sehr viele Prozesse und vor allem auch lang andauernde Prozesse mit 100% CPU-Auslastung gestartet haben. Dadurch war die Stabilität der Serversysteme gefährdet und wir mussten unverzüglich handeln.

Gemäß unseren AGB, Punkt 4 (Pflichten des Kunden), Absatz 4.3, haben wir Ihren Account gesperrt:

Der Kunde ist verpflichtet, seine Systeme und Programme so einzurichten, dass
weder die Sicherheit, die Integrität noch die Verfügbarkeit der Systeme, die goneo zur Erbringung seiner Dienste einsetzt, beeinträchtigt wird. goneo kann Dienste sperren, wenn Systeme abweichend vom Regelbetriebsverhalten agieren oder reagieren und dadurch die Sicherheit, die Integrität oder die Verfügbarkeit der goneo Server-Systeme beeinträchtigt wird.

Link zu den AGB von goneo: http://www.goneo.de/hilfe_kontakt/agb.html


Wir bitten Sie nun um folgendes:

1. Den Fehler suchen, der dies ermöglicht hat.
2. Den Fehler beseitigen und ggf. betroffene Scripte und/oder Dateien löschen.
3. goneo darüber informieren.

Anschließend wird Ihr Account von uns wieder freigeschaltet.

Unsere Techniker haben zudem Ihren Webspace auf Viren gescannt und folgende Infizierung gefunden:


/htdocs/wp-content/css.php: PHP.Agent-19 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1217324
Engine version: 0.97.4
Scanned directories: 4
Scanned files: 205
Infected files: 1
Data scanned: 7.76 MB
Data read: 3.43 MB (ratio 2.26:1)
Time: 9.816 sec (0 m 9 s)


Bei weiteren Anfragen per E-Mail bitten wir Sie den Betreff nicht zu ändern!


Mit freundlichen Grüßen
Holger Krause
goneo-Kundenservice

Kann mir da jemand weiterhelfen?

Danke im Voraus!

 

[VisioNOIR]

Magst Du dieses Thema bitte im entsprechenden Web-Programmierung-Unterforum erstellen oder einen Admin bitten, dieses dort hin zu verschieben. Dein Problem hat rein gar nichts mit Desktop-Macs zu tun. Womöglich tummeln sich hier gar nicht die "Pros", die Dir adäquat weiterhelfen können. Wobei das sehr schwer wird, bei den Informationen (quasi keine) die Du bereit stellst... Es scheint sich aber wohl eine "infizierte Datei" auf Deinem Web-Space zu befinden - womöglich ein PHP-Skript.

 

[timmy38233]

Poste doch mal den Inhalt von der angegebenen PHP-Datei ("/htdocs/wp-content/css.php").

 

[bergheimer]

Das versteh ich nicht. Was soll ich wohin posten? Sorry, steh grad auf'm Schlauch...
Mal so rum gefragt: Wie finde ich denn das skript?

 

[bergheimer]

Niemand der mir weiterhelfen kann? Ich kann mit der email überhaupt nichts anfangen und muss dringend wieder meine Seite (wordpress) zum laufen bringen!

 

[wdominik]

Naja offensichtlich liegt es an der genannten css.php. Also müsstest du diese Datei einmal hier ins Forum stellen, damit man das überprüfen kann. Du findest die Datei auf deinem Server auf dem Pfad /htdocs/wp-content/css.php. Je nach dem wie du auf deinen Server zugreifst (SFTP, FTP, …) müsstest du an diese Datei gelangen.

 

[JvW]

Nun ... Du könntest mit Goneo Kontakt aufnehmen, und da nachfragen.

Letztlich scheint eine der Dateien, die du installiert hast, einen Schadezu haben (Wordpress besteht aus einer Menge Dateien mit PHP-Code.
ich würde so vorgehen:

Zunächst im Benutzerzentrum von Goneo das Datenbanh-Admin-Tool aufrufen, und alle Tabellen (deine Inhalte) sichern

Dann alle Dateien aus dem Wordpress-Unterverzeichnis löschen

Wordpress aus dem Netz laden und neu installieren oder (besser, da weniger Aufwand)
Wordpress über die Goneo-Quikstart-Auswahl neu installieren lassen, und dann gleich updaten (wird im WP-Dashboard angeboten)

Dabei sollte eigentlich die Datenbank erhalten bleiben, falls nicht, die gesicherten Daten zurückspielen (via Admin-Tool)

Falls du Themes oder Plugins nutzt, müssen die natürlich wieder installiert werden - wobei das schon mal Einfallstore für Schadcode sein können.


Was ggf auch gehen kann: nur die Betroffene Daei suchen und ersetzen?
dazu müsstest du halt wissen, woher die stammt ...

 

[bergheimer]

Ok, ich hab mal ein bißchen gegooglet und mich über den FileZilla auf meine webspace bei Goneo eingelogged. Das hat funktioniert.

Dort liegen die ganzen Wordpress-Dateien für meine Webseite. (Verzeiht mir's wenn ich mich unprofessionell ausdrücke, ich bin kein IT-Fachmann sondern Fotograf...)
Dort finde ich auch im htdocs-Verzeichnis unter "wp-content" eine "css-php"-Datei (Größe: 202011 bytes).

Soll ich die löschen?

Hoffentlich kann mir ein Fachmann weiterhelfen!

 

[bergheimer]

Danke JvW...die Nachricht musste ich zwar 3 mal lesen um sie zu verstehen, aber ich merke Du hast mein Problem verstanden.

Der Graus wäre, die ganze Webseite nochmal neu gestalten zu müssen....aber da war Dein Tip sehr hilfreich.

Wenn ich wüsste wie (aus dem FileZilla heraus) würde ich die Datei ja mal hier ins Forum posten. Aber keine Ahnung wie das gehen sollte.

Jetzt les ich Deine Nachricht zum 4. mal und hoffe noch bißl mehr zu verstehen was ich zu tun habe.

 

[JvW]

Wenn du die nur löscht, wird WB deswegen nicht funktionieren. Der Teil, für den die Datei zuständig ist, fehlt dann ja ...

Finde heraus, woher du eine "gesunde" Datei bekommst, dann überschreibst du die alte damit ...


Ich kann dir leider nicht sagen, wozu die Datei dient ...
es gibt aber mindestens ein deutschsprachiges WP.-Hilfeforum (hab nur die Adresse nicht, die ist auf dem Mac und der ist abgebaut), da könntest du Glück haben

 

[bergheimer]

Hmm, ok, die Frage ist: Wie oder wo finde ich eine gesunde Datei?

 

[bergheimer]

Hab gerade entdeckt, dass ich mal ein backup vom kompletten Wordpress-Ordner gemacht hab. Könnte ich da einen gesunden Ersatz finden?
Hab auch den wp-admin Ordner entdeckt, den könnte ich über den FileZilla direkt mit dem alten ersetzen.

 

[JvW]

Einen Versuch wäre es wert, die Datei aus dem Backup zu suchen - aber wie gesagt, lieber erstmal jemanden fragen, der von Wordpress-Technik Ahnung hat ...
ich bin da auch nur Anwender
(und auf alle Fälle via Kundencenter die Datenbank sichern!)

 

[timmy38233]

normalerweise sollte im "wp-content" Verzeichnis gar keine css.php liegen… Poste mal bitte den Inhalt von der Datei (die kannst Du mit FileZilla runterladen und hier über das Code-Tag einbinden [ CODE ]Inhalt der Datei [/ CODE] (ohne Leerzeichen zwischen den Klammern)

 

[JvW]

... Datei runterladen und in einem Editor öffnen - kopieren und einfügen.

 

[bergheimer]

Puhh..ok. Ich versuch das mal. Ich bin echt kein Profi...Erste Frage: Wie lade ich die Datei runter bzw. wo ziehe ich sie im FileZilla hin? Zweite Frage: Mit welchem Editor kann ich die Datei öffnen? Arbeite auf MacMini intel2core und 10.5.

 

[bergheimer]

Also, mal schauen ob ich Talent zum IT'ler hab:

Im File-Zilla, rechter Mausklick und "Ansehen und Bearbeiten"....dann hat er die Datei im Text-Editor geöffnet. Die hab ich abgespeichert. Nur ist das ewig lang, das kann ich hier wohl kaum posten.

Wie verfahre ich mit der css-Datei?

 

[bergheimer]

....

 

[drlecter]

Glückwunsch, dein WP wurde wohl gehackt. Wann hast du das denn installiert und wurde das immer auf dem aktuellen Stand gehalten? Ist php aktuallisiert worden?
Ist das dein eigener Server oder was hast du da gemietet?

 

[bergheimer]

Installiert habe ich vor vielleicht 2 Jahren. Ich hatte kürlich mal einen Blog eingerichtet, weiß nicht ob das was damit zu tun haben könnte.
Der Server..keine Ahnung. Ich bin bei Goneo unter Vertrag. Woher weißt Du denn dass mein WP gehackt wurde? Und vor allem was bedeutet das für mich?
Aktualisiert hab ich glaub ich noch gar nicht seit dem.