1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Sicherheitslücke in Plugins?

Dieses Thema im Forum "Plugins und Widgets" wurde erstellt von duran1, 4. Dezember 2010.

  1. duran1

    duran1 Member

    Registriert seit:
    18. Februar 2010
    Beiträge:
    22
    Zustimmungen:
    0
    Hallo,

    irgend ein Plugin schleust einen Virus / Trojaner auf meine Seite.

    und bindet am Ende immer diesen Script ein:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    gibt es eine Möglichkeit diesen Script zu entfernen? In den FTP ordner und Footer Datei finde ich nichts :(

    Es handelt sich dabei um diese Seite:
    http://www.herrenausstatter-köln.de/

    Folgende Plugins laufen gerade:
    Akismet
    Google XML Sitemaps
    Permalink Redirect
    Platinum SEO Pack
    Redirection
    WP-Permalauts


    Edit: es war vermutlich kein Virus. Schreibrechte für alle Index Dateien wurden auf 777 umgestellt. Ich habe es manuell zurück auf 644 gemacht und seitdem läuft alles gut (ohne Schadcode).
     
    #1 duran1, 4. Dezember 2010
    Zuletzt bearbeitet: 31. Mai 2011
  2. DaDa

    DaDa Well-Known Member

    Registriert seit:
    4. Oktober 2010
    Beiträge:
    766
    Zustimmungen:
    0
    Ich bin da kein Experte, hab mir aber auch mal was eingefangen. Mein Rechner war verseucht ("dank" Avira erst spät gemerkt), und meine Websites voller Schadcode.

    Prüfe deinen Rechner mal mit avast, und frag danach mal Google. Deine Website will ich jetzt äußerst ungerne aufrufen, wenn sie verseucht ist.
     
  3. DaDa

    DaDa Well-Known Member

    Registriert seit:
    4. Oktober 2010
    Beiträge:
    766
    Zustimmungen:
    0
    Ach ja, das muss nicht unbedingt an einem Plugin liegen, in meinem Fall wurden FTP- und Datenbank-Zugangsdaten auf meinem Rechner abgefangen...
     
  4. duran1

    duran1 Member

    Registriert seit:
    18. Februar 2010
    Beiträge:
    22
    Zustimmungen:
    0

    ja bei mir das selber, avira zu spät gecheckt... rechner mit 3 viren scanner durch gebohrt und anschließend alle ftp passwörter geändert...

    der schad-code wurde entfernt und kommt hoffentlich nicht so schnell wieder..
     
  5. DaDa

    DaDa Well-Known Member

    Registriert seit:
    4. Oktober 2010
    Beiträge:
    766
    Zustimmungen:
    0
    Wenns an dem Trojaner lag müsste dann alles OK sein.

    Ich empfehle immer avast, Avira ist mir zu gefährlich (hat damals nichts gefunden!).
     
  6. mbstef

    mbstef Well-Known Member

    Registriert seit:
    16. Februar 2008
    Beiträge:
    68
    Zustimmungen:
    0
    Auf deiner Site ist das Javascript definitiv nicht, zumindest wird kein ungewöhnlicher Code bei mir angezeigt (surfe mit abgeschottetem Ubuntu ;)).

    Es ist aber sehr lobenswert, dass Du hier wenigstens erst fragst, bevor Du gleich WP oder Plugins sowas zuschreibst und verteufelst. Passiert leider am häufigsten, ohne zunächst mal von Profis das untersuchen zu lassen.

    Übrigens nennt man so etwas Crosssite-Scripting, fängt man sich meistens auf präparierten Seiten oder unsicheren Foren ein. Gerade Windows-Kisten sollten dringensd entsprechende Programme einsetzen, die heuristisch auch die angesurften Websites vor Anzeige prüft. Avira ist da schon verdammt gut, aber auch sehr penetrant, Sites aus Ihrer Schadcode-DB herauszunehmen, wenn die "bereinigt" wurden (einem Kunden passierte dies, irrtümlich in diese DB gelandet und ist bis heute - 8 Monate später - immer noch nicht aus dieser DB obwohl da gar nichts drauf ist). Welche Alternativen es noch gibt kann ich nicht sagen, da ich hauptsächlich nur unter Linux arbeite.

    Freut mich allerdings für Dich, dass Du dem Herr geworden bist.
     
  7. DaDa

    DaDa Well-Known Member

    Registriert seit:
    4. Oktober 2010
    Beiträge:
    766
    Zustimmungen:
    0
    Alls bei mir alles verseucht war, hat Avira nichts gefunden, und es müssen schon Tage gewesen sein. Ich habe mich dann in Viren-Foren nach guten Scannern erkundigt, und alle haben avast empfohlen. Erst ein Durchlauf damit hat einiges ans Licht, und dann in Ordnung gebracht.
     
  8. duran1

    duran1 Member

    Registriert seit:
    18. Februar 2010
    Beiträge:
    22
    Zustimmungen:
    0
    Habe nun die "Fehlerquelle" entdeckt. Es war an sich kein Virus oder Trojaner (zumindest glaube ich das). Aus irgendeinem Grund wurden alle index.php / html dateien auf 777 (schreib/lese Recht für alle) umgestellt.

    Ich musste also per Hand auf 644 (alle index Dateien) umstellen und manuell den "Schadcode" löschen.

    Das war eine Sauarbeit, da jede Webseite/Blog betroffen war.

    Aber jetzt scheint es wieder in Ordnung zu sein. Habe auch sicherhaltshalber Filezilla rausgeworfen und ein anderes FTP programm installiert.

    Seid ein paar Wochen läuft alles ohne Probleme.

    Ich hoffe, dass ich anderen Betroffenden helfen konnte :=)
     
    #8 duran1, 31. Mai 2011
    Zuletzt bearbeitet: 31. Mai 2011
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden