Der decodierte String aus admin.php
Ein wichtiger Hinweis an alle Thesis-Verwender mit Developer-Lizenz. Die aktuelle Beta-Version von Thesis 1.8 enthält einen Trojaner.
Er findet sich in der Datei /lib/classes/feed.php. Diese Datei gehört nicht zum Lieferumfang von Thesis. Sie war auch in dem ursprünglichen Download nicht enthalten. Überprüft also bitte euren Download und löscht die Datei.
Ich nehme an, dass es wegen der Zeitverschiebung noch etwas dauern wird, bis das Problem in Texas behoben sein wird. Wenn es etwas neues gibt, erfahrt ihr es hier.
Nachtrag: Betroffen ist auch die Datei /lib/admin/admin.php (1. Zeile)
Nachtrag: Auch das reguläre Thesis 1.7 Paket ist infiziert. Vermutlich seit dem 12. Juli 2010.
Nachtrag: Die Lösung für das Problem ist ja ganz einfach: Man ersetze in der Datei /lib/admin/admin.php die erste Zeile durch <?php und lösche die Datei /lib/classes/feed.php. Trotzdem bleibt natürlich die Frage, wie die Injection auf dem Download-Server passieren konnte. Da hat DIYthemes noch deutlich Erklärungs- und Nachholbedarf.
Nachtrag: Chris Pearson hat sich in einem Tweet geäußert: @dannyarr @firstdayblack Trying to resolve this now. The new files on the server are clean.
Related Posts
Tiny Url für diesen Beitrag: http://tinyurl.com/3xy69b4
{ 5 trackbacks }
{ 35 comments… einen eigenen schreiben }
Habe weder die Datei feed.php noch die erste Zeile in der admin.php.
Woher hast du diese Info?
Der Schadcode ist nicht in allen Versionen der ZIP-Datei drin. Nur im aktuellen. Ich habe das ZIP-File auch gleich nach Erscheinen runtergeladen. Das war sauber. So wie es aussieht, ist der Schadcode wohl am 12. Juli reingekommen. Wenn du seitdem nichts runtergeladen hast, biste nicht betroffen.
Ah, daher. Hab auch gleich am ersten Tag zugeschlagen.
Schwitz…
Ist schon bekannt, was der Virus macht?
Ja, er installiert eine versteckte bypass shell, mit der man auf dem Server unschöne Dinge tun kann.
Habe die Malware gestern Abend geladen und wurde vom Host All-Inkl.com informiert, dass in der /wp-content/themes/thesis_18b1/lib/classes/feed.php ein Virus steckt, was ich erst nicht glauben konnte. Beim öffnen dieser File stellte sich jedoch eine bypass shell #r57 shell 1.43 edited by h4cker.tr vor.
Informierte sofort den Thesis Support, keine Reaktion. Dann das Forum und erhielt ich nach 4 Minuten Antwort von godhammer. Der Download ist noch immer möglich.
http://twitter.com/Clearlyenlight
@mamasdelight there is another line of malcode in /lib/admin/admin.php (first line). This file has a datetimestamp 12. July 2010 20:51.
Da bin ich aber wirklich gespannt, wie es dazu kommen konnte (hoffentlich gibt das Theme die Ursach auch bekannt, damit die anderen nicht den gleichen Fehler machen). Das Schlimmste, was einem Premium Produkt passieren kann (gehe gleich einen Wachhund kaufen).
Die Lösung ist leider nicht ganz so einfach – man weiss ja nicht, was die Schadsoftware sonst noch angerichtet hat …
@Sergej Genau so ist es. Weil sowas das Vertrauen zerstört und Vertrauen ist das wichtigste Kapital.
@MacMacken Wenn man die Schaddateien schon auf dem Server hatte, sind weitere Maßnahmen erforderlich. Das ist klar. Als Sofortmaßnahme sollte man sofort alle Passwörter ändern.
Ich habe mich eben mit einem Bekannten unterhalten. Er sagt, er wüsste von dem Wurm schon gestern und angeblich (hat er vom Hörensagen), sei das unsichere Passwort des Webspaces für das Eindringen und die Modifizierung des Files zuständig. Sind aber alles Vermutungen. Andernfalls wäre es schon ein wenig peinlich.
Der Image-Schaden ist jedenfalls enorm. Eine Katastrophe. Jedenfalls bei uns. Auf der anderen Seite des großen Teichs scheint man das gelassener zu sehen. Ist jedenfalls mein Eindruck. Ich hoffe, er täuscht.
Trotzdem halte ich an meiner Ansicht fest, dass Thesis ein erstklassiges Produkt ist.
Tja, die Rache der GPL …
Genau.
Der Shitstorm geht ja schon los. Matt Mullenweg äußert sich ja auch schon dazu: »This is what happens when non-coders think they can code.« Was natürlich eine ausgesprochen dümmliche Bemerkung ist, denn das Problem gibt es ja nur mit dem Thesis-Server, nicht mit Thesis selbst. Wer den Schaden hat, braucht eben für den Spott nicht zu sorgen.
@pixelnated: looks like @photomatt & @pearsonified are getting personal <– This is getting silly now with the latest comments! #thesiswp
@rhyswynne: Use thesis theme for WordPress? Follow #thesiswp. Now. Don’t use it? Follow it anyway, it’s amusing.
Also ich hole mir schon mal einen Eimer Popcorn und stelle Bier kalt. Das wird noch ein spannender Abend.
… und nebenbei gefragt: Ich nehme an, es gibt ausser dem verlinkten Tweet auch etwas ausführlichere und offizielle Informationen?
Nö, sind mir bisher keine bekannt.
Die Informationspolitik finde ich jetzt ehrlich gesagt auch ein wenig befremdlich. Unter den Teppich kehren sollte man das sicher nicht, daher werde ich noch heute ebenfalls einen Beitrag drüber schreiben.
Die Welle auf Twitter war ja schon mal nicht übel, oder Gerd?
Die Welle auf Twitter ist klasse. Das wird noch sehr unterhaltsam. hashtag: #thesiwp
#thesiswp drama on twitter is the nerdiest thing around…(via @chexee)
Was für eine Battle. Matt Schnullerweg gnatzt rum, wie ein kleines Kind! Als ob der WP-Code viel besser und sicherer ist. Wie war das mit dem Glashaus.
Thesis ist ein tolles Produkt. Ich setze es gerne ein. Ich erwarte aber auch, dass die Sache aufgeklärt wird. Wenn ich es bei Twitter richtig aufgeschnappt habe, soll in Kürze ein Statement folgen.
Ich habe meine Installationen überprüft und es ist alles sauber. Ich den letzten Tagen habe ich auch kein Install-Paket geladen.
Ich hoffe, dadurch erhalten nun jene Entwickler eine Chance, deren kostenpflichtigen Themes die GPL einhalten …
@Sebastian:
Ich nehme an, Dir ist klar, dass «Thesis» auf WordPress basiert, das heisst «Thesis»-Quelltext vs. WordPress-Quelltext funktioniert nicht … aber Du kannst «Thesis» gerne ohne WordPress verwenden – das wäre dann auch im Einklang mit der GPL. Überhaupt frage ich mich, wieso Du WordPress verwendest, aber Matt Mullenweg disst …
Ich liebe WordPress. Ich bin Matt und der Community wirklich dankbar für seine Arbeit. Ich finde es nur etwas daneben von Matt, wie er sich in der dieser Situation verhält. Er lacht sich ins Fäustchen und reagiert mit Spott und Häme. Es geht mir nicht um die tolle Arbeit, die er bei WP zusammen mit der Community geleistet hat. Es geht mir um sein menschliches Verhalten in dieser Situation.
Wieso klagt er nicht einfach gegen DIYthemes bzw. Chris Pearson. Dann kann er ein für alle mal Rechtsklarheit schaffen. Angeblich stößt ihm Thesis schon seit 2 Jahren auf. Geld für die Anwälte sollte er doch haben. Hat er Angst zu verlieren?
Ich möchte nochmals betonen, dass es mir nicht darum geht WP zu bashen. Vielmehr verstehe ich seine menschliche Reaktion auf diesen Vorfall nicht. Als ob WP frei von Sicherheitslücken ist.
Ich verstehe Matt: Wieso nutzen die «Thematic»-Entwickler ausgerechnet eine GPL-Anwendung als Grundlage ihres Geschäftes, respektieren aber die GPL nicht? Es gibt zahlreiche kommerzielle WordPress-Themes, die GPL-kompatibel sind … hinzu kommt das unsympathische Schneeballsystem rund um «Thesis».
Wenn die GPL offensichtlich missachtet wird, dann sollte man das auf anderem Wege klären und nicht bei Twitter. Ich kann Matt ja in der Sache auch verstehen, nur zeugt sein momentanes Verhalten bei Twitter nicht gerade von Größe. Ich möchte Chris Pearson da aber nicht ausklammern. Twitter ist keine Plattform, um sowas auszutragen.
Ich liebe WordPress und ich liebe nunmal auch Thesis. Ich habe den Preis gerne bezahlt. Ich nutze es hauptsächlich, weil es out of the box viel zu bieten hat und leicht zu modifizieren ist. Das Affiliate-Programm nutze ich aber nicht.
Ich denke, die Gemüter sollten sich erstmal beruhigen und dann ein klärendes Gespräch suchen. Ich denke, diese Twitter-Battle führt zu nichts.
Wohl wahr!
@MacMacken: Achtung: Thematic ist nicht Thesis!
Thematic ist ein freies Framework:
http://themeshaper.com/thematic/
http://mixergy.com/live/
Chris nimmt gerade live Stellung!
Oh, Matt und Chris treffen live aufeinander. Right now!
@ad:
Ich weiss, das war bedauerlicherweise ein Verschreiber … leider konnte ich den Kommentar nachträglich nicht mehr bearbeiten. Vielleicht kann der Administrator hier den Verschreiber korrigieren?
Das war eine sehr interessante Diskussion. Ich empfand die Argumention von Chris Pearson eher unlogisch. Das Ganze macht mich nachdenklich.
Ich habe die Argumentation von Chris Pearson nicht mitbekommen, weil ich nicht von Anfang an dabei war. Was genau war sein Punkt?
Pearson behauptet, dass Thesis nicht unter die GPL fallen muss, da es im Prinzip nichts mit WP zu tun hat. So ganz klar ist mir sein Standpunkt diesbezüglich nicht, da Thesis ja WP als Plattform nutzt und auch auf dessen Funktionen zugreift.
Glaubt Chris Pearson wirklich, was er sagt? Und wieso geht er nicht den korrekten Weg und veröffentlicht «Thesis» so weit wie notwendig unter GPL?
Sein Standpunkt kommt mir nach der Livesendung auch reichlich seltsam vor. Das erinnert mich irgendwie an Gerhard Schröder in der Elefantenrunde nach der Wahl bei seiner letzten Kandidatur. Er hatte damals behauptet, dass er die Wahl gewonnen hat, obwohl die Zahlen was anderes ausgesagt haben.
Pearson scheint irgendwie in einer Parallelwelt zu leben.
Hmm, ich als Laie verstehe gar nicht was das Problem mit Thesis und WordPress sein soll? Geht es darum, dass es kostenpflichtig ist, obwohl WordPress kostenlos ist? So what, die Entwicklungsarbeit ist doch erstklassig und es gibt haufenweise Themes und Plugins, die ebenfalls Geld kosten!?
Es geht darum, dass WordPress unter einer Lizenz steht, die eine uneungeschränkte Weitergabe erlaubt, die General Public License. Dazu gehört auch, dass von WordPress abgeleitete Werke ebenfalls diese Lizenz einhalten müssen. Manche Themes und Plugins tun das. Manche nicht. Die entscheidende Frage ist: ist ein Theme ein von WordPress abgeleitetes Werk oder nicht? Matt Mullenweg sagt ja, Chris Pearson sagt nein. Darum geht der Streit.
Mit kostenpflichtig oder kostenlos hat das nichts zu tun. Auch für GPL-lizensierte Software darf Geld verlangt werden.