1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

security shield virus

Dieses Thema im Forum "Plugins und Widgets" wurde erstellt von irmen, 27. Juni 2012.

  1. irmen

    irmen Well-Known Member

    Registriert seit:
    8. Januar 2010
    Beiträge:
    971
    Zustimmungen:
    2
    Hallo,
    kennt jemand diesen Virus?
    Der ist auf einer meiner WP installationen drauf. Diese war am 02.05. aktualisiert worden.
    Da schien alles bestens.
    Zwei Wochen später, ist anscheinend der Virus drauf oder hat sich zumindest bemerkbar gemacht.

    Kann mir überhaupt jemand sagen, wie man sich gegen sowas schützen kann?
    Da man ja im Backend Bilder etc hochladen kann, kann jeder, der die Seite bearbeitet einen virus hochladen?
    Hat WP einen eigenen Schutz?
    wie kriege ich raus, wo der Virus sitzt?
    Kann ich über meine Domain ein Virenprogramm laufen lassen?
    Ich habe die ganze Installation runtergeladen und dort das Programm Avira Premium 2012 laufen lassen, das hat nix erkannt)
    Kann sich der Virus auch in der datenbank verstecken?
    Kann Avira in die Datenbank schauen?

    Fragen über Fragen!

    Vielen Dank für Infos!
    Irmen
     
  2. borusse

    borusse Gast

  3. irmen

    irmen Well-Known Member

    Registriert seit:
    8. Januar 2010
    Beiträge:
    971
    Zustimmungen:
    2
    Vielen dank, leider j sind auf meiner Domain hunderte von Dateien - die kann ich nicht alle einzeln hochladen - gibts sowas vielleicht auch für eine ganze Domain??
     
  4. borusse

    borusse Gast

    Du musst da nix hochladen, klick auf scan a url.
     
  5. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Du solltest vor allen Dingen mal Deinen PC prüfen: http://www.trojaner-board.de/89160-my-security-shield-entfernen.html

    Zum Thema Viren/Trojanerbefall von WordPress finden sich etliche Threads über die SuFu. Wobei ich glaube, dass der Schädling hier eher auf Deinem PC zu suchen ist... Wie hat er sich denn bemerkbar gemacht? Im Quelltext oder wie?
     
  6. irmen

    irmen Well-Known Member

    Registriert seit:
    8. Januar 2010
    Beiträge:
    971
    Zustimmungen:
    2
    Hallo vielen Dank für eure Antworten.
    Ich habe meinen PC mit antivir Premium geschützt.
    Das meldet mir keinen Virus.

    Ich habe von Leuten gehört, daß dieses Security shield bei Ihnen aufploppt, wenn sie auf meine Seite gehen. Nur auf meiner Seite behaupten sie. sie behaupten auch, daß sie vorher keinen Virus auf dem Rechner hatten.
    Also scheint es schon mit meiner Seite zusammenzuhängen.
    Ich selber habe diesesShield noch nie zu Gesicht bekommen - also auf meinem Rechner ist es noch nie auf getaucht.

    @borusse danke - ich kann das grade nicht machen, weil ich die Seite momentan nicht besuchbar habe, damit niemand sich was einfängt, bis ich sicher bin.
    Wenn ich dein Programm drüberlaufen lassen würde, kann ich dann sicher sein, dass es sauber ist, wenn das nix findet?
     
    #6 irmen, 28. Juni 2012
    Zuletzt bearbeitet: 28. Juni 2012
  7. borusse

    borusse Gast

    Sicher ist irgendwie relativ ^^. Ist auch nicht mein Programm aber ja es ist dann relativ sicher das da nix ist. Ich werde mich hüten etwas von 100% zu sagen.
     
  8. irmen

    irmen Well-Known Member

    Registriert seit:
    8. Januar 2010
    Beiträge:
    971
    Zustimmungen:
    2
    Ich habe die Seite nun über eine subdomain aufrufbar gemacht. als ich sie aufrief fing avira auch promt den Virus "TR/Crypt.XPACK.Gen2" ein. der war wohl in einer "mor.exe", die in einem lokal temp ordner liegt.
    Habe sie aber mit Virus total gescannt, der hat nichts gemeldet.
    Habe meinen ganzen Rechner im Virenlabor von avira checken lassen - ohne Befund.

    außerdem wird irgendeine seltsame Datei geladen, die auf .biz endet.

    Gibt es einen debugger, mit dem man die Seite auf alle Verweise oder so durchkämmen kann?

    hier der link zur möglicherweise befallenen Seite:
    test.kunst-im-stockwerk.info

    Wie kann ich weiter vorgehen?
    Oder wer weiß einen guten, fairen Profi, der das gegen Geld machen würde.
     
    #8 irmen, 2. Juli 2012
    Zuletzt bearbeitet: 2. Juli 2012
  9. irmen

    irmen Well-Known Member

    Registriert seit:
    8. Januar 2010
    Beiträge:
    971
    Zustimmungen:
    2
    Hier sind die Plugins die ich benutze - gibt es eine Seite, in der man nach faulen plugins suchen kann?
    Zum Zeitpunkt des ersten registirerten Befalls waren alle plugins und die wp installation aktuell - bzw zwei Wochen zuvor auf die neueste Version geupdated worden

    all-in-one-seo-pack
    custom-fields
    duplicate-post
    event-calendar
    hetjens-expiration-date
    newsletter
    nextgen-gallery
    nggGalleryview
    php-execution-plugin
    post-ticker
    tinymce-advanced
    wp-db-backup

    und noch eine Frage, wie kann ich die Datenbank durchsuchen lassen?

    Mein erneuter Scan bei Virustotal ist komisch - dort steht seite einer halben Stunde:

    Please wait, do not close the window until the submission ends.
    The time required for this operation depends on the net load and your connection speed.
    Please wait...
    was ist das?
    das dauert doch wohl nicht sooo lang oder?
     
    #9 irmen, 2. Juli 2012
    Zuletzt bearbeitet: 2. Juli 2012
  10. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Du solltest Dich nicht nur auf Avira verlassen. Solange Dein PC nicht 100% sauber ist, brauchst Du an Deiner Website gar nicht weitermachen. Glaub mir... Das die mor.exe gefunden wurde, zeigt ja dass Dein PC infiziert ist. Ich hatte vor einiger Zeit selbst mal mit einem solchen Problem zu kämpfen. Hier habe ich meine damalige Vorgehensweise beschrieben.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden