Trojaner auf Website

Ja , hast einen Einbruch im Server gehabt. Der/die Hacker haben sich in mindestens einer deiner php Dateien vergriffen und einen Trojaner Code eingeschleust, der ganz unten auf der Seite zu finden ist ist.

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Dieser Javascript erzeugt dynamisch den iframe, den bestimmte Virensucher sofort erkennen und ankreiden. Da müssen schleunigst deine PHP Dateien untersucht und bereinigt werden.

Allerdings kann man so fernschriftlich nicht viel machen, maximal weiter Tips geben.

PS: Den daraus resultierenden iframe kann ich hier leider nicht einkleben, sonst wird dieser Forumsthread von Virensuchern blockiert.

 

Hatte ähnliches Problem mal mit nem anderen CMS. Durchsuche mal die Dateien nach folgendem Code:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Diesen solltest Du dann löschen (vorausgesetzt er lässt sich finden). Danach sind unbedingt alle Zugangsdaten zu ändern (WP Installation, Datenbank, FTP Server). Damit hast Du dann schonmal nen Schritt in die richtige Richtung gemacht. Kann Dir leider nicht versprechen, dass Du den Code irgendwo findest. Könnte auch irgendwo in der Datenbank stecken. Auf jeden Fall auch mal die Verzeichnisrechte überprüfen. Infos dazu solltest Du eigentlich hier im Forum finden. Sollten meine Tipps nicht helfen oder falsch sein, wird einer der Moderaten oder der anderen User Dir sicherlich weiterhelfen können. Das wären zumindest die Schritte, die ich als erstes einleiten würde...

PS: Oft findet sich die Ursache für solche Trojaner oder Viren auch in unsauber programmierten Plugins. Eventuell auch mal die Dateien durchsuchen.

EDIT: Da war jemand schneller Ich sollte mir abgewöhnen so viel zu schreiben

 

Nach Seiteninhalt zu urteilen

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

und wegen des fehlenden X-Pingback Headers ist das eine WP 2.3.2 Version bzw 2.3.3 höchstens. Die 2.3.2 ist aber hochgradig anfällig und muss ersetzt werden, sonst passiert das immer wieder.

 

Ich hatte genau den gleichen in 2 WP-Installationen (unter 2.5.1). Er sitzt in der index.php im Rootverzeichnis. Während die Seite lädt, sieht man unten in der Statusleiste, dass versucht wird, ein 'xanjan.cn' zu laden.

 

Ist wäre wichtig zu wissen, ob das schon vor 2.5.1 drin war und du es nur durch ein Update quasi übernommen hast oder ob er es geschafft hat, sich in eine pure 2.5.1 direkt einzunisten. Das ist ein himmelweiter Unterschied.

 

Ich habe ihn nicht übernommen, er ist erst nach dem Update aufgetaucht.

 

In diesem Falle wäre es sinnvoll, rauszufinden, ob es an WP selbst liegen kann (was Horror wäre!) oder an einem der Plugins, das du benutzt. Wäre es möglich eine Pluginliste zu bekommen (am Besten mit Download Links und von mir aus auch als PM), damit ich das mal analysieren kann ?
Ich möchte ungern ein "offenes Scheunentor" in der WP2.5.1 haben!

Sollte man eigentlich. Es hat ja nicht nur den Nachteil, das potentielle Kunden abgeschreckt und Bestandskunden schockiert sind, wenn deren Virensucher aufschreit, sondern Google stellt irgendwann deine Seite als potentiell gefährlich in der Suchanfrage dar! Das geht dann auch nicht mehr von allein weg, da mußt du Google kontaktieren.

 

Plugins sind so gut wie keine installiert: Semmelstatz, zu dem es momentan wohl keinen Downloadlink gibt, und Shutter Reloaded.

Ich würde schnellstens den Code aus der index.php löschen!

 

Hat denn irgendjemand noch eine Idee, wie das Ding dahin kam und was man tun kann, damit das nicht wieder passiert?

 

Ne wirkliche Idee habe ich nicht, aber benutzt Du Gravatare oder lässt Deine User gar Avatare hochladen, z. B. durch ein Forum oder so?

 

Ich hab mir das Plugin mal runtergeladen, das du als Paged Comments auf deinen Seiten beschreibst.
Ich hab es nur überflogen (weil schon sehr spät/oder früh ist?) aber das scheint mir Potential für DB Injection zu haben:

Plugin Code:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

WP Code:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Ich bin mir nicht sicher, ob diese WP Methode bereits geprüfte URI's haben will (schau ich mir noch später an). Wenn ja, dann schaufelt da das Plugin eine nicht vollständig geprüfte URI durch, die eine SQL Injection auslösen könnte. Ich geh erstmal schlafen, falls sich das jemand näher ansehen will: http://www.keyvan.net/files/paged-comments/paged-comments-2.6.4-(2007-07-31).zip

 

Wäre super wenn Du es schaffen würdest, Dir das mal genauer anzusehen. Erst gestern habe ich dieses Plugin für die Realisierung eines Gästebuchs eingesetzt. :-|

Nachtrag zu meinem vorherigen Beitrag: Beim PHPKit (seinerzeit auch bekannt als eine große Sicherheitslücke) war es möglich, durch modifizierte Avatare (unter Punkt 5) Schadcode einzuschleusen. Mich hat es wie gesagt damals selbst getroffen und es lief genau wie hier in einem vorherigen Posting beschrieben. Wäre es denkbar, dass sowas auch bei WordPress passieren könnte?

 

Es ist allerdings so, dass die Seiten, auf denen ich Paged Comments einsetze, alle nicht befallen waren, auch mein Testblog, den ich hier in meiner Signatur habe, nicht. Es ist (bislang) auch keine Seite betroffen, bei der WP in einem Unterverzeichnis läuft, sondern nur Seiten, in denen es im Root installiert ist.
Gravatare nutze ich nicht.

 

ja das geht auch leichter...

und deswegen, weil man wo eine Schwachstelle hat, muss ein *zufällig durchs WWW* jagender Angreifer einem noch nicht gefunden haben.


informier den Pluginautoren, das ist immer die erste Anlaufstelle

lg

 

Was meinst du denn, welchen Pluginautor?

 

page comments - wenn ich richtig las, nimmst Du dies, codestyling nimmt an da sei ein Lücke

dann soll der Pluginautor dies kontrollieren-auch auf Verdacht hin

lg

 

Monika, nein, wie ich oben geschrieben habe, ist auf einer der betroffenen Seiten lediglich Semmelstatz und Shutter Reloaded installiert, und das Plugin, über das codestyling schreibt, ist auf der zweiten meiner betroffenen Seiten ebenfalls nicht installiert. Auf dieser zweiten Seite sind Semmelstatz und Shutter Reloaded übrigens nicht installiert. Also sehe ich pluginmäßig keine Zusammenhänge.