1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Dashboard Trojaner-verseucht?

Dieses Thema im Forum "Allgemeines" wurde erstellt von dulife, 10. April 2012.

Schlagworte:
  1. dulife

    dulife New Member

    Registriert seit:
    10. April 2012
    Beiträge:
    1
    Zustimmungen:
    0
    Hallo,

    ich betreibe über meine Homepage "www.dulife.de" mehrere Wordpress-Blogs. Nachdem ich vor kurzem einen Malwareangriff auf meinen (Strato-)Server hatte, lud ich ein Backup, welches virenfrei war hoch, änderte sämtliche FTP- & Wordpress-Passwörter und installierte sogar meine verwendeten FTP-Programme neu. Securi meldete, dass keine Verseuchung bestünde und ein anschließender Virenscan auf meinem PC ergab "keine Viren". Seitdem habe ich Ruhe gehabt.

    Nun wollte ich mich vor wenigen Tagen auf einem meiner Blogs anmelden - dies ging/geht beim Hauptblog (www.dulife.de/blog) problemlos - bei meinen anderen drei Wordpress-Installationen funktioniert dies allerdings nicht, da AVAST! bei Aufruf der URLs (www.dulife.de/musikblog/wp-admin etc.) meldet einen Trojaner entdeckt zu haben und die Seite nicht öffnet.

    Die genaue AVAST!-Meldung lautet:
    Die Blogs selbst sind nicht mit Schadsoftware belastet, sowohl Securi.net als auch AVAST! melden dort nichts.

    Nun frage ich mich, was ich tun sollte? Wie kann ich den Trojaner entfernen bzw. ist es überhaupt einer oder besteht ein anderes Problem?

    Vielen Dank für Antworten bereits im Voraus!
     
    #1 dulife, 10. April 2012
  2. chdhesi0

    chdhesi0 Member

    Registriert seit:
    31. August 2011
    Beiträge:
    21
    Zustimmungen:
    0
    Was ich nicht ganz kapier, wieso der als Trojaner durchgeht. Soll ja ein Javascript Teil sein, welches den User auf eine andere Seite redirectet, wo dann halt was auch immer ist. Sieht nach meiner Meinung, selbst wenn du den hast, nicht wirklich gefährlich aus, sofern der User auf der neuen Site nichts herunterlädt oder aktiviert kann das nicht so wild sein. :roll:

    Kannst du deine Site scannen und erhälst auch Angaben zur Lokalisation des Scriptes? Das muss ja irgendwo stehen. Am besten via FTP Files durchsuchen und rasch manuell löschen, wobei die Frage ist, wie das Tei initialisiert wird. Du könntest auch versuchen alles lokal in eine abgeschirmte Umgebung zu loaden und dort die files einzeln nochmals prüfen. In eine XAMPP Umgebung oder so ähnlich...
     
    #2 chdhesi0, 10. April 2012
    Zuletzt bearbeitet: 10. April 2012
  3. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.361
    Zustimmungen:
    589
    Den Warnungen von AVAST kannst du sicherlich (ver)trauen. Oder du verwendest einen anderen Viren Scanner
    http://www.kaspersky.com/de/ostern_20?&redef=1&thru=reseller%3Dsem_paidsearch_oster_20_lp

    > Nun frage ich mich, was ich tun sollte?

    - Sicherheitslücke suchen oder suchen lassen (job-forum)
    - Seite in Quarantäne verschieben
    > Wie kann ich den Trojaner entfernen

    Nur durch löschen aller Daten und Dateien - du kannst keiner Datei und keinem Datensatz mehr trauen.

    Wenn alles gelöscht ist - aus vertrauensvollen Quellen das Blog neu aufsetzen (vertrauensvolle Quelle = Datensicherung, oder Dienstleister über das Jobforum)

    Viel Glück

    ralf
     
    #3 r23, 11. April 2012
  4. chdhesi0

    chdhesi0 Member

    Registriert seit:
    31. August 2011
    Beiträge:
    21
    Zustimmungen:
    0
    Die Frage ist erstmal, überwas reden wir hier überhaupt? :mrgreen:

    Ist deine Meldung zu 100% gestützt durch andere Scanner? Und wenn die Infos stimmen, um was für einen "Trojaner" handelt es sich. Vielleicht ja nur in den Signaturen einen Fehler. Wie wird also gescannt? JS:Redirector-SZ [Trj]? Zu dem findet man (fast) keine Infos. Also sehr schlecht, um genau zu sagen, wie er funktioniert und ob er sich tatsächlich repliziert und welchen Exploit er allenfalls ausnutzt. Alles spricht mal gegen eine vernünftige Hilfe hier im Forum. Darum, wenn du auf Nummer sicher gehen willst und nicht gerade ein Security-Experte bist, der das in den Griff kriegen kann, nimm die radiakel Lösung, die bereits gepostet wurde. Das System komplett bereinigen... :wink:

    Alles andere wäre für einen Laien zu risikobehaftet, dass doch noch etwas auf dem System sein Unwesen treibt.
     
    #4 chdhesi0, 11. April 2012
    Zuletzt bearbeitet: 11. April 2012
  5. klausneder

    klausneder New Member

    Registriert seit:
    27. Juli 2015
    Beiträge:
    2
    Zustimmungen:
    0
    #5 klausneder, 27. Juli 2015
  6. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Hast du mal aufs Datum geschaut?
     
    #6 Hille, 27. Juli 2015
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden