News

Virus in Thesis 1.8 Beta

14. Juli 2010 · 40 Kommentare · 1564 Tage her

PHP-Code

Der decodierte String aus admin.php

Ein wichtiger Hinweis an alle Thesis-Verwender mit Developer-Lizenz. Die aktuelle Beta-Version von Thesis 1.8 enthält einen Trojaner.

Er findet sich in der Datei /lib/classes/feed.php. Diese Datei gehört nicht zum Lieferumfang von Thesis. Sie war auch in dem ursprünglichen Download nicht enthalten. Überprüft also bitte euren Download und löscht die Datei.

Ich nehme an, dass es wegen der Zeitverschiebung noch etwas dauern wird, bis das Problem in Texas behoben sein wird. Wenn es etwas neues gibt, erfahrt ihr es hier.

Nachtrag: Betroffen ist auch die Datei /lib/admin/admin.php (1. Zeile)

Nachtrag: Auch das reguläre Thesis 1.7 Paket ist infiziert. Vermutlich seit dem 12. Juli 2010.

Nachtrag: Die Lösung für das Problem ist ja ganz einfach: Man ersetze in der Datei /lib/admin/admin.php die erste Zeile durch <?php und lösche die Datei /lib/classes/feed.php. Trotzdem bleibt natürlich die Frage, wie die Injection auf dem Download-Server passieren konnte. Da hat DIYthemes noch deutlich Erklärungs- und Nachholbedarf.

Nachtrag: Chris Pearson hat sich in einem Tweet geäußert: @dannyarr @firstdayblack Trying to resolve this now. The new files on the server are clean.

Related Posts

  1. Thesis 1.8.2 und WordPress 3.2
  2. Thesis Theme 1.8 zum Download
  3. Thesis 1.8 beta 2 erschienen
Hat dir dieser Beitrag gefallen?
Wenn ja, abonniere den RSS-Feed, um keinen mehr zu verpassen. Wenn nein, abonniere trotzdem den RSS-Feed; es kommen noch bessere.
 
Du kannst diesen Artikel auch bookmarken oder in deinem Blog verlinken. Und wenn du selbst eine mit Thesis erstellte Website hast, sag mir Bescheid. Dann kann ich dein Blog hier vorstellen.
 
Pimp your Blog
Mach aus deinem Blog einen Ferrari, hol dir Thesis und gib Gas.*
* Partnerlinks

Tiny Url für diesen Beitrag: http://tinyurl.com/3xy69b4

{ 5 trackbacks }

Malware in Thesis 1.7 und 1.8 entdeckt - Beitrag - Schweizer WordPress Magazin
07.14.10 at 13:56
Achtung – Malware in Thesis 1.7 und 1.8b1 | admartinator.de
07.14.10 at 18:32
WordPress-Theme Thesis 1.7 und 1.8 enthält einen Trojaner /  HFs Jotter
07.15.10 at 09:26
Thesis Pissing In the WordPress Well?
07.16.10 at 10:57
Thesis Pissing In the WordPress Well? | Affaholic.com
07.20.10 at 18:40

{ 35 comments… einen eigenen schreiben }

1 ad 07.14.10 at 12:52

Habe weder die Datei feed.php noch die erste Zeile in der admin.php.

Woher hast du diese Info?

2 Gerd 07.14.10 at 13:02

Der Schadcode ist nicht in allen Versionen der ZIP-Datei drin. Nur im aktuellen. Ich habe das ZIP-File auch gleich nach Erscheinen runtergeladen. Das war sauber. So wie es aussieht, ist der Schadcode wohl am 12. Juli reingekommen. Wenn du seitdem nichts runtergeladen hast, biste nicht betroffen.

3 ad 07.14.10 at 13:09

Ah, daher. Hab auch gleich am ersten Tag zugeschlagen.

Schwitz…

Ist schon bekannt, was der Virus macht?

4 Gerd 07.14.10 at 13:36

Ja, er installiert eine versteckte bypass shell, mit der man auf dem Server unschöne Dinge tun kann.

5 Ursula Hoffmann 07.14.10 at 14:41

Habe die Malware gestern Abend geladen und wurde vom Host All-Inkl.com informiert, dass in der /wp-content/themes/thesis_18b1/lib/classes/feed.php ein Virus steckt, was ich erst nicht glauben konnte. Beim öffnen dieser File stellte sich jedoch eine bypass shell #r57 shell 1.43 edited by h4cker.tr vor.
Informierte sofort den Thesis Support, keine Reaktion. Dann das Forum und erhielt ich nach 4 Minuten Antwort von godhammer. Der Download ist noch immer möglich.

6 Ursula Hoffmann 07.14.10 at 14:48

http://twitter.com/Clearlyenlight
@mamasdelight there is another line of malcode in /lib/admin/admin.php (first line). This file has a datetimestamp 12. July 2010 20:51.

7 Sergej Müller 07.14.10 at 15:14

Da bin ich aber wirklich gespannt, wie es dazu kommen konnte (hoffentlich gibt das Theme die Ursach auch bekannt, damit die anderen nicht den gleichen Fehler machen). Das Schlimmste, was einem Premium Produkt passieren kann (gehe gleich einen Wachhund kaufen).

8 MacMacken 07.14.10 at 15:33

Die Lösung ist leider nicht ganz so einfach – man weiss ja nicht, was die Schadsoftware sonst noch angerichtet hat … 

9 Gerd 07.14.10 at 16:26

@Sergej Genau so ist es. Weil sowas das Vertrauen zerstört und Vertrauen ist das wichtigste Kapital.

@MacMacken Wenn man die Schaddateien schon auf dem Server hatte, sind weitere Maßnahmen erforderlich. Das ist klar. Als Sofortmaßnahme sollte man sofort alle Passwörter ändern.

10 Sergej Müller 07.14.10 at 16:28

Ich habe mich eben mit einem Bekannten unterhalten. Er sagt, er wüsste von dem Wurm schon gestern und angeblich (hat er vom Hörensagen), sei das unsichere Passwort des Webspaces für das Eindringen und die Modifizierung des Files zuständig. Sind aber alles Vermutungen. Andernfalls wäre es schon ein wenig peinlich.

11 Gerd 07.14.10 at 16:43

Der Image-Schaden ist jedenfalls enorm. Eine Katastrophe. Jedenfalls bei uns. Auf der anderen Seite des großen Teichs scheint man das gelassener zu sehen. Ist jedenfalls mein Eindruck. Ich hoffe, er täuscht.

Trotzdem halte ich an meiner Ansicht fest, dass Thesis ein erstklassiges Produkt ist.

12 MacMacken 07.14.10 at 17:03

Tja, die Rache der GPL … ;)

13 Gerd 07.14.10 at 17:07

Genau. ;-) Der Shitstorm geht ja schon los. Matt Mullenweg äußert sich ja auch schon dazu: »This is what happens when non-coders think they can code.« Was natürlich eine ausgesprochen dümmliche Bemerkung ist, denn das Problem gibt es ja nur mit dem Thesis-Server, nicht mit Thesis selbst. Wer den Schaden hat, braucht eben für den Spott nicht zu sorgen.

@pixelnated: looks like @photomatt & @pearsonified are getting personal <– This is getting silly now with the latest comments! #thesiswp

@rhyswynne: Use thesis theme for WordPress? Follow #thesiswp. Now. Don’t use it? Follow it anyway, it’s amusing.

Also ich hole mir schon mal einen Eimer Popcorn und stelle Bier kalt. Das wird noch ein spannender Abend. :-)

14 MacMacken 07.14.10 at 17:09

… und nebenbei gefragt: Ich nehme an, es gibt ausser dem verlinkten Tweet auch etwas ausführlichere und offizielle Informationen?

15 Gerd 07.14.10 at 17:14

Nö, sind mir bisher keine bekannt.

16 ad 07.14.10 at 17:27

Die Informationspolitik finde ich jetzt ehrlich gesagt auch ein wenig befremdlich. Unter den Teppich kehren sollte man das sicher nicht, daher werde ich noch heute ebenfalls einen Beitrag drüber schreiben.

Die Welle auf Twitter war ja schon mal nicht übel, oder Gerd?

17 Gerd 07.14.10 at 17:30

Die Welle auf Twitter ist klasse. Das wird noch sehr unterhaltsam. hashtag: #thesiwp

#thesiswp drama on twitter is the nerdiest thing around…(via @chexee)

18 Sebastian 07.14.10 at 18:38

Was für eine Battle. Matt Schnullerweg gnatzt rum, wie ein kleines Kind! Als ob der WP-Code viel besser und sicherer ist. Wie war das mit dem Glashaus.

Thesis ist ein tolles Produkt. Ich setze es gerne ein. Ich erwarte aber auch, dass die Sache aufgeklärt wird. Wenn ich es bei Twitter richtig aufgeschnappt habe, soll in Kürze ein Statement folgen.

Ich habe meine Installationen überprüft und es ist alles sauber. Ich den letzten Tagen habe ich auch kein Install-Paket geladen.

19 MacMacken 07.14.10 at 18:51

Ich hoffe, dadurch erhalten nun jene Entwickler eine Chance, deren kostenpflichtigen Themes die GPL einhalten … :)

20 MacMacken 07.14.10 at 18:53

@Sebastian:

Was für eine Battle. Matt Schnullerweg gnatzt rum, wie ein kleines Kind! Als ob der WP-Code viel besser und sicherer ist. Wie war das mit dem Glashaus.

Ich nehme an, Dir ist klar, dass «Thesis» auf WordPress basiert, das heisst «Thesis»-Quelltext vs. WordPress-Quelltext funktioniert nicht … aber Du kannst «Thesis» gerne ohne WordPress verwenden – das wäre dann auch im Einklang mit der GPL. Überhaupt frage ich mich, wieso Du WordPress verwendest, aber Matt Mullenweg disst …

21 Sebastian 07.14.10 at 19:02

Ich liebe WordPress. Ich bin Matt und der Community wirklich dankbar für seine Arbeit. Ich finde es nur etwas daneben von Matt, wie er sich in der dieser Situation verhält. Er lacht sich ins Fäustchen und reagiert mit Spott und Häme. Es geht mir nicht um die tolle Arbeit, die er bei WP zusammen mit der Community geleistet hat. Es geht mir um sein menschliches Verhalten in dieser Situation.

Wieso klagt er nicht einfach gegen DIYthemes bzw. Chris Pearson. Dann kann er ein für alle mal Rechtsklarheit schaffen. Angeblich stößt ihm Thesis schon seit 2 Jahren auf. Geld für die Anwälte sollte er doch haben. Hat er Angst zu verlieren?

Ich möchte nochmals betonen, dass es mir nicht darum geht WP zu bashen. Vielmehr verstehe ich seine menschliche Reaktion auf diesen Vorfall nicht. Als ob WP frei von Sicherheitslücken ist.

22 MacMacken 07.14.10 at 19:06

Ich verstehe Matt: Wieso nutzen die «Thematic»-Entwickler ausgerechnet eine GPL-Anwendung als Grundlage ihres Geschäftes, respektieren aber die GPL nicht? Es gibt zahlreiche kommerzielle WordPress-Themes, die GPL-kompatibel sind …  hinzu kommt das unsympathische Schneeballsystem rund um «Thesis».

23 Sebastian 07.14.10 at 19:14

Wenn die GPL offensichtlich missachtet wird, dann sollte man das auf anderem Wege klären und nicht bei Twitter. Ich kann Matt ja in der Sache auch verstehen, nur zeugt sein momentanes Verhalten bei Twitter nicht gerade von Größe. Ich möchte Chris Pearson da aber nicht ausklammern. Twitter ist keine Plattform, um sowas auszutragen.

Ich liebe WordPress und ich liebe nunmal auch Thesis. Ich habe den Preis gerne bezahlt. Ich nutze es hauptsächlich, weil es out of the box viel zu bieten hat und leicht zu modifizieren ist. Das Affiliate-Programm nutze ich aber nicht.

Ich denke, die Gemüter sollten sich erstmal beruhigen und dann ein klärendes Gespräch suchen. Ich denke, diese Twitter-Battle führt zu nichts.

24 ad 07.14.10 at 19:25

Wenn die GPL offensichtlich missachtet wird, dann sollte man das auf anderem Wege klären und nicht bei Twitter.

Wohl wahr!

25 ad 07.14.10 at 19:28

@MacMacken: Achtung: Thematic ist nicht Thesis!

Thematic ist ein freies Framework:
http://themeshaper.com/thematic/

26 Sebastian 07.14.10 at 19:32

http://mixergy.com/live/

Chris nimmt gerade live Stellung!

27 Sebastian 07.14.10 at 19:33

Oh, Matt und Chris treffen live aufeinander. Right now!

28 MacMacken 07.14.10 at 21:03

@ad:

@MacMacken: Achtung: Thematic ist nicht Thesis!

Ich weiss, das war bedauerlicherweise ein Verschreiber … leider konnte ich den Kommentar nachträglich nicht mehr bearbeiten. Vielleicht kann der Administrator hier den Verschreiber korrigieren?

29 Sebastian 07.14.10 at 21:11

Das war eine sehr interessante Diskussion. Ich empfand die Argumention von Chris Pearson eher unlogisch. Das Ganze macht mich nachdenklich.

30 Gerd 07.14.10 at 21:15

Ich habe die Argumentation von Chris Pearson nicht mitbekommen, weil ich nicht von Anfang an dabei war. Was genau war sein Punkt?

31 Sebastian 07.14.10 at 21:32

Pearson behauptet, dass Thesis nicht unter die GPL fallen muss, da es im Prinzip nichts mit WP zu tun hat. So ganz klar ist mir sein Standpunkt diesbezüglich nicht, da Thesis ja WP als Plattform nutzt und auch auf dessen Funktionen zugreift.

32 MacMacken 07.14.10 at 21:35

Glaubt Chris Pearson wirklich, was er sagt? Und wieso geht er nicht den korrekten Weg und veröffentlicht «Thesis» so weit wie notwendig unter GPL?

33 Sebastian 07.14.10 at 21:42

Sein Standpunkt kommt mir nach der Livesendung auch reichlich seltsam vor. Das erinnert mich irgendwie an Gerhard Schröder in der Elefantenrunde nach der Wahl bei seiner letzten Kandidatur. Er hatte damals behauptet, dass er die Wahl gewonnen hat, obwohl die Zahlen was anderes ausgesagt haben.

Pearson scheint irgendwie in einer Parallelwelt zu leben.

34 Matthias 07.17.10 at 12:28

Hmm, ich als Laie verstehe gar nicht was das Problem mit Thesis und WordPress sein soll? Geht es darum, dass es kostenpflichtig ist, obwohl WordPress kostenlos ist? So what, die Entwicklungsarbeit ist doch erstklassig und es gibt haufenweise Themes und Plugins, die ebenfalls Geld kosten!?

35 Gerd 07.17.10 at 13:06

Es geht darum, dass WordPress unter einer Lizenz steht, die eine uneungeschränkte Weitergabe erlaubt, die General Public License. Dazu gehört auch, dass von WordPress abgeleitete Werke ebenfalls diese Lizenz einhalten müssen. Manche Themes und Plugins tun das. Manche nicht. Die entscheidende Frage ist: ist ein Theme ein von WordPress abgeleitetes Werk oder nicht? Matt Mullenweg sagt ja, Chris Pearson sagt nein. Darum geht der Streit.

Mit kostenpflichtig oder kostenlos hat das nichts zu tun. Auch für GPL-lizensierte Software darf Geld verlangt werden.

Schreibe einen Kommentar

You can use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>