Der Earners Blog warnt vor einem WordPress Exploit, der frühere Versionen der beliebten Blogging Software kompromittiert und in ferngesteuerte Zombies für DDOS Attacken mit Hilfe einer Datei „remv.php“ verwandelt.

WordPress gehackt? remv.php

Betroffene Installationen können anhand der Datei „remv.php“ erkannt werden, ein Update auf die kürzlich erschienene Version WordPress 2.7 wird empfohlen.

Wie finde ich heraus, ob ich betroffen bin?

Gehackte WordPress Installationen wurden mit einer Datei „remv.php“ ausgestattet, die im Verzeichnis /wp-content/themes/ liegt.

Was ist remv.php?

Laut Aussage des Earners Blog handelt es sich hierbei um eine Applikation mit dem Namen PHPremoteView, die es Benutzern erlaubt, beliebigen PHP Code auf der betroffenen Maschine auszuführen. Die möglichen Gefahren hierdurch sind vielfältig und können den Verlust von Dateien oder Passwörtern nach sich ziehen. Andere beliebte Ziele ist der Austausch der Publisher ID für Adsense bzw. Affiliate IDs oder das Einfügen von Links zu dubiosen Webseiten mit Pharmaangeboten.

Anscheinend werden die kompromittierten Systeme derzeit aber hauptsächlich für DDOS Attacken genutzt.

Wie löse ich das Problem?

  1. Die Datei „remv.php“ löschen.
  2. Schauen, welche Dateien der WordPress Installation kürzlich verändert wurden.
  3. Exportieren aller Artikel via XML, Neuinstallation von WordPress 2.7 und Re-Import aller Artikel.
  4. Wer mehrere Seite auf seinem Server laufen lässt, sollte die Dateien aller Installationen auf Veränderungen überprüfen und gegebenfalls die Installationen updaten.
  5. Wer ganz sicher gehen möchte, sollte alle Passwörter der Benutzer, Root, WordPress, Datenbanken ändern.
  6. Ein Update aller Plugins scheint sinnvoll.

Link