was ist denn das für eine datei: casquebeatspascher.php

In meinen Serverlogs finde ich mehrfach verschiedene Zugriffe von Seiten wie:
abc.com/wp-admin/casquebeatspascher.php
xyz.de/typo3conf/casquebeatspascher.php
zyx.com/wp-includes/casquebeatspascher.php
aabbcc.de/casquebeatspascher.php

auch eine cheapbeatsuk.php findet man in asdf.com/wp-content/cheapbeatsuk.php, wird derselbe hack sein.

bei Zugriff auf diese Seiten bekommt man immer ‘Beats Pas Cher,Casque Beats Solo,Casque Beats Studio’ mit der url fr-casquebeatspascher.com zu sehen.

Ich denke die Seiten mit solch einer Weiterleitung sind wohl gehackt worden und haben eben diese casquebeatspascher.php in irgendeinem Verzeichnis. Remote File Inclusion, das Hochladen und Ausführen von Dateien, geschieht wohl meist durch ungenügend eingeschränkte Nutzer-Rechte, frei beschreibbare Verzeichnisse oder unsicher SQL Codes.
Auf Webservern sollte im www oder public_html-Verzeichnis der Webserver nur Leserechte bekommen, der FTP-Nutzer (mit sicherem Passwort), also meist ich selbst, sollte lesen und schreiben können. Infos dazu gibt’s mehr als nötig, ich möchte jetzt nicht per ‘copy und paste’ das noch kopieren.

Solange meine Seite nicht auf diese Art infiziert, kann ich ja noch ruhig schlafen.

Lady D’arbanville by Cat Stevens Lyrics

Lady D’arbanville by Cat Stevens Lyrics (not my lady dabandi lyric ;-))

Album: Saturnight Album Songwriter: Islam, Yusuf

My lady darbanville, why do you sleep so still?
Ill wake you tomorrow
And you will be my fill, yes, you will be my fill.

My lady darbanville why does it grieve me so?
But your heart seems so silent.
Why do you breathe so low, why do you breathe so low,

My lady darbanville why do you sleep so still?
Ill wake you tomorrow
And you will be my fill, yes, you will be my fill.

My lady darbanville, you look so cold tonight.
Your lips feel like winter,
Your skin has turned to white, your skin has turned to white.

My lady darbanville, why do you sleep so still?
Ill wake you tomorrow
And you will be my fill, yes, you will be my fill.

La la la la …

My lady darbanville why does it grieve me so?
But your heart seems so silent.
Why do you breathe so low, why do you breathe so low,

I loved you my lady, though in your grave you lie,
Ill always be with you
This rose will never die, this rose will never die.

I loved you my lady, though in your grave you lie,
Ill always be with you
This rose will never die, this rose will never die.

Petronas Twin Towers in Kuala Lumpur

The Petronas Twin Towers (Malay: Menara Berkembar Petronas) (also known as the Petronas Towers or just Twin Towers), in Kuala Lumpur, Malaysia are twin towers and were the world’s tallest buildings before being surpassed by Taipei 101. However, the towers are still the tallest twin buildings in the world. They were the world’s tallest buildings from 1998 to 2004 if measured from the level of the main entrance to the structural top, the original height reference used by the US-based Council on Tall Buildings and Urban Habitat from 1969 (three additional height categories were introduced as the tower neared completion in 1996)

Petronas twin towers was considered the tallest building in the period from 1998 to 2004. When this was built, each of the tower was interestingly built by different construction companies. The design of this building is made such that it will include architectural spires on top of it. The Sears Tower in Chicago has 110 occupied floors, 22 more than the Petronas – which has only 88 floors, thus, the roof of Sears tower and the height of its highest floors is higher than that of the Petronas. Sears Tower’s tallest antenna tip is higher than the petronas’ spires. What made the Petronas “taller” is that the rules used for rating tallest buildings, says that architectural spires count towards building height, but antennas atop a building do not. Fortunately for Petronas, it was built after Sears Tower – thus including a spire in its design made it surpass the then tallest building in the world.

WordPress 3.2 Artikel bearbeiten visueller Editor funktioniert nicht – json fehlt

Mein Problem: Nach dem Upgrade auf WordPress 3.2 arbeiteten die Web-Seiten nach wie vor einwandfrei, das Dashboard ist sogar noch schöner als zuvor.

ABER: Sobald ich auf das Edit Post Fenster wechselte, (Artikel oder eine neue Seite schreiben oder bearbeiten), geht kein javascript mehr, kein Umschalten auf visuell, kein dropdown zum Abmelden, kein Screen Options dropdown mehr.

Ich habe alle Plugins deaktiviert, wechselte zu twentyten und twenty eleven Themes, machte einen ‘reset’ des Plugin Ordners, keine Chance, das wollte nicht.

Also warf ich einen Blick auf mein error.log der Seite und fand einen Fatal error:

PHP Fatal error: Call to undefined function json_encode() in /srv/www/vhosts/meineseite.com/httpdocs/wp-admin/includes/class-wp-list-table.php on line 905, referer: http://meineseite.com/wp-admin/edit.php

Deutlich erkennt man: undefined function json_encode(), eine Funktion die fehlt und durch wp-admin/edit.php aufgerufen wird.

Ein phpinfo() auf dem Server ergab, es gibt kein json! Also ist auf meinem Plesk 9.5.4 json per default nicht aktiviert!?

Der vServer läuft auf Plesk 9.5.4 auf einem SUSE 10.3 mit php 5.2.11-0.1

Um nun dieses json Modul zu aktivieren, benötigt man eine json.so und json.ini in den unten genannten Ordnern im Rootverzeichnis des Servers.

Suche auf den Servern Wurzel gibt es keine json.so in \usr\lib\php5\extensions\ und es gibt keine json.ini in \etc\php5\conf.d\

Mit etwas Glück fand ich das richtige rpm-Paket “php5-Hash-5.2.11-0.1.i586.rpm” hier:

http://autoinstall.plesk.com/PSA_10.0.1/update-rpm-SuSE-10.3-i386/

Ich habe dieses .rpm downgeloaded, geöffnet mit 7-zip und dann die zwei enthaltenen Dateien json.so und json.ini in die entsprechenden Ordner kopiert, (mit WinSCP)

Nach einem (mutigen) Restart des VPS aus dem Virtuozzo Panel heraus ging ich zurück zur phpinfo() der Seite, um nun einen neuen Eintrag zu finden:

json
json support enabled
json version 1.2.1

Jetzt auf der WordPress 3.2 Seite ins Dashboard eingeloggt und geprüft, ob der visuelle Editor in Edit Post jetzt funktioniert?

Solved, Lösung gefunden, geht prima auf allen Domains die auf dem Server laufen.

Also bei mir lag es an dem fehlenden json PHP Modul , nicht am Theme, Browsercache, Plugins, PHP Memorylimit oder sonstwas.

Es gibt vielleicht einfachere Wege, json zu aktivieren, eine Suche danach lohnt.

Die größten Fehler von Blog-Neulingen, wer bietet mehr?

Mirko nimmt mir in seinem Beitrag Die 8 größten Fehler von Blog-Neulingen die Worte aus dem Mund.

Wie der Titel seines Beitrags schon sagt, geht es um Tipps für Bloganfänger und wie man sie sicher vermeidet. er bezieht sich ganz unterhaltsam auf einen Beitrag mit ähnlichem Titel…

Schaut euch seinen interessanten Text gerne mal an. Ich möchte ihm zustimmen, dass das alles nicht so schwierig ist.

Man lernt doch nur aus seinen Fehlern, am ehesten wenn man sie selbst macht. Jeder hat mal angefangen, man kämpft mit der Technik, mit dem Inhalt, liest sich sein Wissen an und schreibt noch was – ist doch toll!

In Bezug auf WAS machen die Neulinge denn Fehler? Ich denke die machen das schon richtig!

Mein Tipp an Anfänger: Vergesst die ganzen SEO-Tips, bringt gar nicht viel – wie man an den SEO-Blogs sieht…

Auch von mir: nur Mut! Wo immer sich die Gelegenheit bietet einen Blog aufzustellen, ich würd’s wieder machen!

site hacked: iframe src zxstats or bali-planet com script var zaee=

There is a trojan around infecting sites with a encrypted script starting ‘var zaee=”4.5*2,4.5*’ and iframe src linking to zxstats com and bali-planet com

This script is to find right after the body tag of index.html files and infects the PC of a visitor by loading an .exe file.
This file in return seems to scan infected PCs for ftp login user and passwords.
Finding these for example in filezilla’s passwordmanager in C:\Users\username\AppData\Roaming\FileZilla\sitemanager.xml it will send these ftp usernames and passwords out and try to access the sites stored in this file.

These sites will get this script injected via ftp to infect more visitors or even your machine again. (suspicious sites I check with chrome having javascript disabled)

There will be all index, start, home and main files with extension .php or .html infected by an added script.

The problem is the stolen ftp login, not any blog software or CMS running there! Giving ftp passwords out of hand no website software can prevent from changing files!

Sites running on php might not work after infection and show an error instead, like “Parse error: syntax error, unexpected ‘?’ in /xxx/yyy/public_html/index.php on line 18″ (WordPress) or “Parse error: syntax error, unexpected ‘?’ in /xxx/yyy/public_html/modules/boonex/chat/home.php on line 38″ (Boonex Dolphin)

Actually lucky for visitors as in this case the script doesn’t run and will not infect their machines. In .php files the script is added after the last ‘?’ and before the closing ‘>’ and doesn’t work here.

What to do?
First clean your PC from trojans using any anti virus software (malwarebytes, MS Essentials)
Do not store login passwords in Filezilla Servermanager, if you have it there delete it and set it for ‘Ask for Password’ to manually typing it.
Change your infected servers ftp password (and do not store in the ftp program!!)

With your new login go to your site and ‘repair’ all infected files by replacing them with a backup file or editing and removing the malicious code – that’s the biggest task ..