Folgendes Angebot habe ich nun mehrfach erhalten: (das ist bestimmt Spam! Bietet jemand mehr?)

Sehr geehrte(r) Mein Name,

zunächst meine besten Wünsche für das eben angebrochene Neue Jahr. ich möchte mich erstmals gerne vorstellen. Mein Name ist Eduardo Galvez, die persönliche Rechtsanwalt meines verstorbenen Mandanten Herr Peter W…. Er war als privater Geschäftsmann im internationalen Bereich tätig. Im Jahr 2010 erlag mein Mandant an einen schweren Herzinfarkt. Mein Mandant war ledig und kinderlos.

Er hinterließ ein Vermögen im Wert von Euro14.255.000 (Vier Zehn Millionen, zweihundertfünfzig Fünftausend Euro), das sich in einer Bank in Spanien befindet. Die Bank ließ mir zukommen, dass ich einen Erbberechtigen, Begünstigten vorstellen muss. Nach mehreren Recherchen erhielt ich keine weiteren hilfreichen Informationen, über die Verwandten meines verstorbenen Mandanten. Aus diesem Grund schrieb ich Sie an, da Sie den gleichen Nachnamen haben. Ich benötige Ihre Zustimmung und Ihre Kooperation um Sie als den Begünstigten vorzustellen.

Alle meine Bemühungen Verwandte meines verstorbenen Mandanten zu finden, waren erfolglos. Infolgedessen würde ich vorschlagen das Vermögen aufzuteilen, Sie erhalten 50% Prozent des Anteils und 35% Prozent würde mir dann zustehen. 15% Prozent werden an Gemeinnützige Organisationen gespendet,

Alle notwendigen Dokumente beinhalten sinngemäß auch das Ursprungszeugnis, um demnach Fragen von der zuständigen Bank zu vermeiden. Die beantragten Dokumente, die Sie für das Verfahren benötigen, sind legal und beglaubigt. Das Vermögen enthält kein kriminellen Ursprung. Das Verfahren wird einwandfrei ohne Komplikationen erfolgen, die Geldüberweisung wird rechts gemäß abgeschlossen. Alles was ich von Ihnen benötige ist Ihr

Telefonnummer: +34611395849 anbei private Faxnr: +34968979872 und Email-Adresse. eduardo.galvez@eduardo-galvez.es

Die geplante Transaktion wird durch legale Rechtsmitteln für Ihren rechtlichen Schutz geführt.

Mit Freundlichen Grussen,
Eduardo Galvez

Eduardo Galvez Associates
Calle Maria Auxiliadora 2
Edif. Pata Pata, Planta 3 – Ofic 1
29602 Marbella
Málaga, Spain.
Tel. +34 – 968 979 859
Mobile +34 – 611 295 561
info@eduardo-galvez.es

eduardo.galvez@eduardo-galvez.es

Anmerkung: Lieber Eduardo, hättest Du mir 80% angeboten, wären wir wohl ins Geschäft gekommen! Deshalb ist Deine Mail jetzt im Papierkorb gelandet!

Mit einem Trojaner versehene Mails kommen bei mir zur Zeit des öfteren.

WICHTIG: ANHÄNGE NICHT ÖFFNEN!!

Da ist z.B. diese Mail:

fax aus “+49 (0) 30 333 382 48″ – 7 seiten

Faxnachricht [Caller-ID: +49 (0) 30 333 382 48]
Seiten: 7.
Datum: 2014-04-28 12:11:07 UTC.
Kennziffer: 2B78681B56628F303612.

Anhang ist eine .zip Datei mit Trojaner

Oder diese Spam Mail:

Kreditschuld zur Rechnung #6988941339837760

Sehr geehrter Kunde,

Wir sind ganz dankbar, dass Sie die Dienstleistungen unserer Bank benutzt haben.
Wir teilen Ihnen mit, dass vom 28.04.2014 die Schuld beim Konto #6988941339837760 3920.51 Euro beträgt. Wir bieten Ihnen an, die Rückzahlung der Geldmittel in vollem Umfang bis 14.05.2014 freiwillig durchzuführen.

Die freiwillige Rückzahlung der Geldmittel zum Vertrag #19298C6727A722857 bietet Ihnen an:
1) Ihre positive Kredit-Geschichte beibehalten
2) Die Gerichtsverhandlung vermeiden

Im Falle der Nichtzahlung 3920.51 Euro sind wir im Rahmen der aktuellen Gesetzgebung berechtigt, die Gerichtsstrafe wegen der Schuldigkeit auszuführen.
Die Vertragskopie #19298C6727A722857 und Zahlungsangaben sind zu diesem Brief als ZIP-Datei “vertrag_19298C6727A722857.zip” hinzugefügt.

Mit freundlichen Grüßen,
Leiter des Departments für die Arbeit mit den Schulden.
Gerd-Werner Reichl
+49 (0) 30 433 470 93

Anhang ist eine ‘vertrag_19298C6727A722857.zip’ Datei mit Trojaner

In meinen Serverlogs finde ich mehrfach verschiedene Zugriffe von Seiten wie:
abc.com/wp-admin/casquebeatspascher.php
xyz.de/typo3conf/casquebeatspascher.php
zyx.com/wp-includes/casquebeatspascher.php
aabbcc.de/casquebeatspascher.php

auch eine cheapbeatsuk.php findet man in asdf.com/wp-content/cheapbeatsuk.php, wird derselbe hack sein.

bei Zugriff auf diese Seiten bekommt man immer ‘Beats Pas Cher,Casque Beats Solo,Casque Beats Studio’ mit der url fr-casquebeatspascher.com zu sehen.

Ich denke die Seiten mit solch einer Weiterleitung sind wohl gehackt worden und haben eben diese casquebeatspascher.php in irgendeinem Verzeichnis. Remote File Inclusion, das Hochladen und Ausführen von Dateien, geschieht wohl meist durch ungenügend eingeschränkte Nutzer-Rechte, frei beschreibbare Verzeichnisse oder unsicher SQL Codes.
Auf Webservern sollte im www oder public_html-Verzeichnis der Webserver nur Leserechte bekommen, der FTP-Nutzer (mit sicherem Passwort), also meist ich selbst, sollte lesen und schreiben können. Infos dazu gibt’s mehr als nötig, ich möchte jetzt nicht per ‘copy und paste’ das noch kopieren.

Solange meine Seite nicht auf diese Art infiziert, kann ich ja noch ruhig schlafen.

Lady D’arbanville by Cat Stevens Lyrics (not my lady dabandi lyric ;-))

Album: Saturnight Album Songwriter: Islam, Yusuf

My lady darbanville, why do you sleep so still?
Ill wake you tomorrow
And you will be my fill, yes, you will be my fill.

My lady darbanville why does it grieve me so?
But your heart seems so silent.
Why do you breathe so low, why do you breathe so low,

My lady darbanville why do you sleep so still?
Ill wake you tomorrow
And you will be my fill, yes, you will be my fill.

My lady darbanville, you look so cold tonight.
Your lips feel like winter,
Your skin has turned to white, your skin has turned to white.

My lady darbanville, why do you sleep so still?
Ill wake you tomorrow
And you will be my fill, yes, you will be my fill.

La la la la …

My lady darbanville why does it grieve me so?
But your heart seems so silent.
Why do you breathe so low, why do you breathe so low,

I loved you my lady, though in your grave you lie,
Ill always be with you
This rose will never die, this rose will never die.

I loved you my lady, though in your grave you lie,
Ill always be with you
This rose will never die, this rose will never die.

The Petronas Twin Towers (Malay: Menara Berkembar Petronas) (also known as the Petronas Towers or just Twin Towers), in Kuala Lumpur, Malaysia are twin towers and were the world’s tallest buildings before being surpassed by Taipei 101. However, the towers are still the tallest twin buildings in the world. They were the world’s tallest buildings from 1998 to 2004 if measured from the level of the main entrance to the structural top, the original height reference used by the US-based Council on Tall Buildings and Urban Habitat from 1969 (three additional height categories were introduced as the tower neared completion in 1996)

Petronas twin towers was considered the tallest building in the period from 1998 to 2004. When this was built, each of the tower was interestingly built by different construction companies. The design of this building is made such that it will include architectural spires on top of it. The Sears Tower in Chicago has 110 occupied floors, 22 more than the Petronas – which has only 88 floors, thus, the roof of Sears tower and the height of its highest floors is higher than that of the Petronas. Sears Tower’s tallest antenna tip is higher than the petronas’ spires. What made the Petronas “taller” is that the rules used for rating tallest buildings, says that architectural spires count towards building height, but antennas atop a building do not. Fortunately for Petronas, it was built after Sears Tower – thus including a spire in its design made it surpass the then tallest building in the world.

Mein Problem: Nach dem Upgrade auf WordPress 3.2 arbeiteten die Web-Seiten nach wie vor einwandfrei, das Dashboard ist sogar noch schöner als zuvor.

ABER: Sobald ich auf das Edit Post Fenster wechselte, (Artikel oder eine neue Seite schreiben oder bearbeiten), geht kein javascript mehr, kein Umschalten auf visuell, kein dropdown zum Abmelden, kein Screen Options dropdown mehr.

Ich habe alle Plugins deaktiviert, wechselte zu twentyten und twenty eleven Themes, machte einen ‘reset’ des Plugin Ordners, keine Chance, das wollte nicht.

Also warf ich einen Blick auf mein error.log der Seite und fand einen Fatal error:

PHP Fatal error: Call to undefined function json_encode() in /srv/www/vhosts/meineseite.com/httpdocs/wp-admin/includes/class-wp-list-table.php on line 905, referer: http://meineseite.com/wp-admin/edit.php

Deutlich erkennt man: undefined function json_encode(), eine Funktion die fehlt und durch wp-admin/edit.php aufgerufen wird.

Ein phpinfo() auf dem Server ergab, es gibt kein json! Also ist auf meinem Plesk 9.5.4 json per default nicht aktiviert!?

Der vServer läuft auf Plesk 9.5.4 auf einem SUSE 10.3 mit php 5.2.11-0.1

Um nun dieses json Modul zu aktivieren, benötigt man eine json.so und json.ini in den unten genannten Ordnern im Rootverzeichnis des Servers.

Suche auf den Servern Wurzel gibt es keine json.so in \usr\lib\php5\extensions\ und es gibt keine json.ini in \etc\php5\conf.d\

Mit etwas Glück fand ich das richtige rpm-Paket “php5-Hash-5.2.11-0.1.i586.rpm” hier:

http://autoinstall.plesk.com/PSA_10.0.1/update-rpm-SuSE-10.3-i386/

Ich habe dieses .rpm downgeloaded, geöffnet mit 7-zip und dann die zwei enthaltenen Dateien json.so und json.ini in die entsprechenden Ordner kopiert, (mit WinSCP)

Nach einem (mutigen) Restart des VPS aus dem Virtuozzo Panel heraus ging ich zurück zur phpinfo() der Seite, um nun einen neuen Eintrag zu finden:

json
json support enabled
json version 1.2.1

Jetzt auf der WordPress 3.2 Seite ins Dashboard eingeloggt und geprüft, ob der visuelle Editor in Edit Post jetzt funktioniert?

Solved, Lösung gefunden, geht prima auf allen Domains die auf dem Server laufen.

Also bei mir lag es an dem fehlenden json PHP Modul , nicht am Theme, Browsercache, Plugins, PHP Memorylimit oder sonstwas.

Es gibt vielleicht einfachere Wege, json zu aktivieren, eine Suche danach lohnt.