Server über xmlrpc.php gehackt?
-
Hallo,
gestern Morgen
118.163.216.107 – – [26/Jun/2019:08:46:32 +0200] „POST /xmlrpc.php HTTP/1.1“ 200 4349 „-“ „xmlrpclib.py/1.0.1 (by http://www.—-.com)“
dann
184.168.46.56 – – [26/Jun/2019:09:00:34 +0200] „GET /wp-content/themes/saohovfqog/bkevoxoksp.php HTTP/1.0“ 200
93.125.99.46 – – [26/Jun/2019:09:00:39 +0200] „POST /wp-content/themes/saohovfqog/bkevoxoksp.php HTTP/1.1“
…..
108.179.213.63 – – [26/Jun/2019:09:01:08 +0200] „POST /wp-includes/sodium_compat/src/Core/XChaCha20.php HTTP/1.0“innerhalb kurzer Zeit war der Server voll mit neuen oder veränderten Dateien.
Vieles wird von Wordfence gefunden,
twentynineteen -> .a67a0cd3.ico wird nicht angezeigt, obwohl der Code eher fragwürdig ist$_ey6tb = basename/*ujot*/(/*xd4fy*/trim/*y7g*/(/*rqa3*/preg_replace/*usiax*/
Sollte man xmlrpc.php abschalten oder braucht man das?
Grüsse Walter
- Das Thema „Server über xmlrpc.php gehackt?“ ist für neue Antworten geschlossen.