1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Plötzliche UNERWÜNSCHTE Werbeeinblendung

Dieses Thema im Forum "Allgemeines" wurde erstellt von cicyl, 28. Januar 2014.

Schlagworte:
  1. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    Hallo Wordpress'ler,

    auf meiner Wordpressseite (www.kressmedia.de) wird plötzlich beim ersten Aufruf der Seite eine Werbung eingeblendet (siehe Screenshot farbige Quadrate - Movies, Games, ...)
    werbe_einblendung.jpg
    Ich habe keine Ahnung, wie das zustande kommt und aufgefallen ist es mir nach dem automatischen Update auf 3.8.1! Habt ihr eine Idee, woher die Werbeeinblendung kommt und wie ich sie wieder loskrieg? Wurde meine Seite evt. gehakt? Bin grad ziemlich ratlos und hoffe auf euere Tipps.

    Thx, Cicyl
     
  2. Gerd-E.

    Gerd-E. Well-Known Member

    Registriert seit:
    24. April 2013
    Beiträge:
    3.203
    Zustimmungen:
    4
    Hi Cicyl,

    ich habe schnell mal mit http://sitecheck.sucuri.net/scanner/ getestet, da wird derzeit nicht negatives angezeigt. Der fehler erscheint echt nur beim ersten Aufruf, ich kann es leider nicht reproduzieren?

    Sind die "Bilder" bei deinem Theme irgendwo dabei? Sind ungewöhnliche Files auf dem Server?
     
  3. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Bei mir ist das keine Werbung (Werbeblocker sind deaktiviert).
     
  4. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    Hallo Gerd,
    ich hatte eben versucht, alle Online Dateien hier lokal auf meinen Rechner per FTP zu ziehen. Da hat sich mein Kaspersky gemeldet, die wp-config.php enthält einen Trojaner (HEUR:Trojan.Script.Generic) und es gab eine Malware Warnung. Deshalb kann ich jetzt die wp-config.php leider nicht einsehen.
    Auf dem CMS-Root liegt eine Datei, welche lediglich mit .. bezeichnet ist. Das ist die einzig auffällige Datei!

    Die Bilder konnte ich nicht auf dem Server sehen, sie werden offensichtlich von anderer Stelle geladen.
     
  5. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    Danke Hille!
    Die gleiche Rückmeldung bekam ich auch von meinem Bruder.
    Tatsache ist aber, dass ich diese Werbeeinblendung bekomme und NUR auf meiner Wordpressseite, andere Kunden-Wordpressseiten laufen einwandfrei.
     
  6. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Teste mal einen anderen Browser.
     
  7. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Also ich habe die Werbung gerade auch gesehen. Allerdings nur einmal, dann war sie weg, egal mit welchem Browser ich die Seite jetzt aufrufe.

    Die "Datei" mit den zwei Punkten ist nur der Verweis auf das übergeordnete Verzeichnis, also nichts Verdächtiges.

    Gruß
    Ingo
     
  8. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Ich habe es gerade nochmal mit Safari auf den iPhone getestet, keine Werbung.
     
  9. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Verhielt sich bei mir ebenso, beim zweiten Aufruf sah die Seite sauber aus.
     
  10. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Die scheinen sich die IP-Adresse zu merken, um die Werbung nur beim ersten Aufruf anzuzeigen. Schon seltsam.

    Das animierte GIF-Bild ist übrigens als Inline-Image direkt in der Seite integriert und wird nicht extern nachgeladen.

    Gruß
    Ingo
     
  11. Melewo

    Melewo Well-Known Member

    Registriert seit:
    8. Juli 2013
    Beiträge:
    3.097
    Zustimmungen:
    0
    Wird wohl so sein, denn allein Cookies und Cache löschen hat nichts gebracht und die Einblendungen erscheinen nicht wieder.
     
  12. Gerd-E.

    Gerd-E. Well-Known Member

    Registriert seit:
    24. April 2013
    Beiträge:
    3.203
    Zustimmungen:
    4
    Wenn Kaspersky über die wp-config.php meckert, würde ich da ansetzen.

    Am besten wäre es, ein sauberes Backup aufzuspielen.
     
  13. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    Hallo Putzlowitsch,
    so ist es auch bei mir, ich seh die Werbung nur einmal und danach nicht mehr, egal mit welchem Browser.

    Und nein, das ist nicht das übergeordnete Verzeichnis (..), es ist tatsächlich eine Datei mit 341KB. Ich habe sie mit der Endung .txt versehen und bekomme diesen Inhalt angezeigt:
    vFPuWN80hSq17G4OF8oyhg==
    6gi4EYJk02vwpTBOQpZ2
    6AuvDYBkyXD1vjNY
    6A2vDYJkyXfxpSlRSpM=
    6gm5EYFk0mvzoTJOQpZw
    6gi4EYJk02vwpTVOQpd8
    6AuvDYBkyXH5vjBU
    6gi1EYRnyXfyoilUSg==
    7wqvDYJ/1nH3vjZVQQ==
    4givCIV/1Xfxvj5Q
    4wmvDoZoyXfypylSQJQ=
    6gi3EYN/0HzvoT9S
    6gS5EYVnyXDvoTVX
    4g2vDYNhyXT1vjZSQQ==
    6gy4EYFh0WvwpjJOSpA=
    7hKwC4p/1XDxvjZVQw==
    6gu5EYFgyXfyvjVTQw==

    Interessanterweise sehe ich gerade, dass bereits wieder eine Datei .. angelegt ist.
     
  14. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Na das ist ja echt tricky, mit der ..-Datei. Es scheint aber der Übeltäter zu sein, das was Du siehst, ist Base64-kodierter Inhalt. Da hat sich irgendwas auf Deinem Webspace eingenistet. Ist erstmal schwer zu sagen, was es ist.

    Gruß
    Ingo
     
  15. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    So, jetzt hab ich den SuperGAU :shock:
    Hatte die .. Datei gelöscht und nun kann ich weder auf das Wordpress-Backend noch auf die Internetseite zugreifen :(

    Ich habe natürlich Backups (komplett, incl. Datenbank) und Backups nur von den Datenbanken. Kann mir jemand helfen, wie ich mit FTP und MySqL Zugang die Daten wieder einspiele?

    Im Übrigen ist mir aufgefallen, dass diese mysteriöse Datei (..) ab dem Zeitpunkt in meinen Backups vorhanden ist, seit ich ein Update von 3.5 auf 3.7 über Wordpress durchgeführt habe.
     
  16. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    Im Übrigen habe ich die Wordpress Installation mit einer .htacess, einem starken Admin-Namen, ebenso starkem Password und dem PlugIn Limit Login Attempts geschützt! Wie kann denn das passieren?
     
  17. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Ein Plugin sorgt niemals für Sicherheit. Ein Plugin kann Sicherheitslücken enthalten, das könnte evtl auch dein Problem sein. Jetzt musst du schauen, wo die Sicherheitslücke liegt.
    Übrigens, bei dir fehlt die wp-config.php
     
  18. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Hallo,

    zurzeit haben sehr viele das Problem mit gekauften Templates. In diesen befindet sich eine Datei-Upload funktion, mit der Angreifer sich seine eigene Scripte hochladen kann. Sollten PHP Scripte im Upload Verzeichnis ausführbar sein, so kann der Angreifer *alles* auf dem Server mit Wordpress machen.

    Hier eine Liste der Bekannten Sicherheitslücken in Wordpress und Templates und Plugins mit der Anleitung, wie der Angriff funktioniert.

    http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=Wordpress

    Viel Glück

    Ralf
     
  19. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    Die Seite läuft wieder. Der Provider hatte die wp-config.php deaktiviert, nachdem auch deren Virenscanner sich gemeldet hatte. Nachdem ich die wp-config.php wieder hergestellt hatte, bekam ich zunächst immer eine Fehlermeldung eines Plugins. Nachdem ich den kompletten Ordner gelöscht hatte, konnte ich auch wieder auf Wordpress zugreifen. Jetzt hoffe ich, dass es an diesem PlugIn lag und werde alles weiterhin beobachten. Danke für Deinen Tipps.
     
  20. cicyl

    cicyl Active Member

    Registriert seit:
    18. November 2008
    Beiträge:
    27
    Zustimmungen:
    0
    Danke für diesen Hinweis Ralf!
    Im Uploadordner fand ich auch tatsächlich eine .php Datei, die dort nicht hingehörte.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden