• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Fehlermeldung: Unable to set php_value 'base64_decode'

Injainja

Newbie
Hallo,
seit meinem letzten Serverreboot kommt in der error.log von php ca. im Minutentakt folgende Fehlermeldung für alle Domains:
Code:
[01-Aug-2021 08:05:16] WARNING: [pool blabla.de] child 31193 said into stderr: "ERROR: Unable to set php_value 'base64_decode'"

Ich komme iwie nicht weiter. Falls es noch wichtig ist: auf allen Domains läuft Wordpress, aber diese Fehlermeldung habe ich noch nie gesehen.
Wo kann ich anfangen zu suchen?

Liebe Grüße,
Inja.
 
OP
I

Injainja

Newbie
Es scheint aus der Wordpress-Ecke zu kommen, weil es nur auf den Domains auftritt, die Wordpress installiert haben. Außerdem scheint der Fehler dann zu kommen, wenn eine Wordpress-Seite aufgerufen wird. Aber - wie gesagt - gestern war das noch nicht und ich habe auch in der Zwischenzeit nichts geupdatet. Auch eine Google-Suche nach der Fehlermeldung lieferte kein Resultat
 
OP
I

Injainja

Newbie
Hmmm - es scheint, als ob ich die Lösung doch selbst gefunden habe. Wenn ich aus der php.ini die Zeile base64_decode = Off entferne, kommt kein Fehler mehr. Merkwürdig... Ich lasse es mal hier stehen, vielleicht hilft es ja jemand anderen über die Google-Suche.
 

marce

Guru
Es gibt Leute, die das disablen der Funktion als Sicherheitsfeature ansehen würden.
Ich weiß gerade nicht sicher, ob WP das Feature braucht. Oder irgendein Plugin. Ich meine aber nein.

Mal ganz böse gesponnen: Wenn bei Dir die Fehlermeldung bisher nicht aufgetreten ist - ist entweder durch den reboot die Konfigänderung erst aktiv geworden und Du müsstest Dich fragen, wie denn die Änderung geschehen ist.
Oder - irgendwo in den Files Deiner Wordpress-Instanz ist entsprechender Code enthalten. Da das mMn. in "Standard-Wordpress" nicht vorkommt würde das darauf hindeuten, dass sich Code auf Dem System befindet, der dort nicht hingehört. base64_decode ist eigentlich "Standard" in sämtlichen php-Hacks.

-> Ich würde das System genauer unter die Lupe nehmen und erst mal herausfinden, welches File denn für die Fehlermeldung verantwortlich war und das gegen eine valide Version davon abgleichen (sollte es eines im Wordpress-Core oder den Plugins sein)
Zudem würde ich gefundene Code-Stellen mal daraufhin untersuchen, was der Code denn macht...
 
OP
I

Injainja

Newbie
Yep - habe mit Sucuri veränderte Dateien gefunden und diese wieder zurückgesetzt. PW geändert usw. Glücklicherweise war bei httpdocs/WP/ schluss, sodass mein Server verschont blieb. Der Hacker kam über eine Domain meiner Freundin rein, die ein erstaunlich unsicheres PW verwendet hatte. Grmpf... Jetzt scheint alles wieder heile zu sein - mal beobachten. Danke nochmals
 

marce

Guru
Ein System, welches kompromittiert war, ist als nicht mehr vertrauenswürdig einzustufen.

Du weißt nicht, welche Hintertüren der Angreifer ggf. noch hinterlassen hat, die Du nicht bemerkt oder gefunden hast.
 

spoensche

Moderator
Teammitglied
marce schrieb:
Ein System, welches kompromittiert war, ist als nicht mehr vertrauenswürdig einzustufen.

Du weißt nicht, welche Hintertüren der Angreifer ggf. noch hinterlassen hat, die Du nicht bemerkt oder gefunden hast.

So siehts aus. Ist durchaus möglich das eine Webbshell installiert worden ist, die im schlimmsten Fall eine Root- Shell ermöglicht.
 
Oben