Malware erkannt via virustotal.com nach Spam durch Sharedaddy-Lücke?

Hallo zusammen,

ich gebe zu, der Titel ufert ein wenig aus und ich hoffe, der beitarg zum Thema Sicherheit ist hier im richtigen Unterforum.

Hier zur Erklärung: Am Wochenende gab es hunderte Spam-Mails, die vom Server freie-wirtschaftsfoerderung.com aus aus den Absender wordpress@... zurückkamen. Daraufhin sperrte der aktueller Hoster zwischenzeitlich auch den Account.

Nach Anfangsverdacht eines Hacks war ich zunächst soweit, dass der Spam wohl nicht vom Sever selbst ausging durch einen Hack, sondern eine Sicherheitslücke im Jetpack-Modul Sharedaddy (Teilen-Funktion via Mail) genutzt wurde. Trotzdem habe ich anschließend auch Dateisystem und Datenbank untersucht:

Installation von Wordfence und Quttera haben in den Scans nichts ergeben. Externe URL-Tests durch virustotal.com und sucuri ebenfalls nichts. Allerdings habe ich bei virustotal nochmal ein paar ZIP-Files meiner Wordpress-Installation hochgeladen, und einer von 64 AV-Scannern mit dem Namen Bkav hat einige Uploads beanstandet, zB mit "[FONT=&amp]VEX8CC1.Webshell" [/FONT]bei meinem Upload des Ninja Forms plugins als ZIP. Das Jetpack-Plugin hingegen hat zB keinen Alarm gemacht.

https://virustotal.com/de/file/c1120fb03e084e9d479a60525dcee25f6c7e485cc03bdb47c68534f50f279647/analysis/1499163615/

Jetzt bin ich etwas verunsichert, wie mit dem Ergebnis umgehen. Den einen Alarm als Fehlalarm interpretieren? Weitere Scans oder die Plugin-Dateien manuell durchgehen und nach Code suchen (das traue ich mir nicht zu)? Vielleicht hat jemand eine Erklärung oder einen Tipp.

Gut zu wissen ist auch der Tipp eines anderen Users, dass die vorher verwendete E-Mail-Funktion von Sharedaddy in Deutschland datenschutzrechtlich bedenklich ist.

Besten Dank!

 

Hmm, würde ich gerne. Weiß aber nicht, wo ich die finde. Auf dem FTP-Server liegt jedenfalls nichts, falls sowas gemeint ist. Und Google macht mich nicht wirklich schlauer.

Edit: Und der erklärt ja dann auch noch nicht, ob dieser gefundene "Virus" bei virustotal durch Bkav nun Sorge bereiten sollte oder nicht.

 

Hoster hat auf Datenschutz verwiesen.

"das gewünschte Logfile steht unter dem Aspekt des Datenschutzes bei allen Provider der Öffentlichkeit nicht zur Verfügung. Ich kann leider auch nicht nachvollziehen, um welche Bounces es geht und wozu Sie da ein Logfile benötigen. Falls es hier immer noch um die Sache von Sonntag geht, so müssen Sie sich nur eine Mail ansehen die zurückgekommen ist mit der Fehlermeldung und dann werden Sie feststellen, dass dort steht "Connection timed out" sprich der gegnerische Host hat nicht geantwortet."

Gebouncete Mail:

The mail system <1535190610@qq.com>: host mx3.qq.com[203.205.160.46] said: 550 Mailbox not
found.
http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000728 (in
reply to RCPT TO command)
Reporting-MTA: dns;
X-Postfix-Queue-ID: C0A07C4A54F
X-Postfix-Sender: rfc822;
Arrival-Date: Sat, 1 Jul 2017 11:12:27 +0200 (CEST)


Final-Recipient: rfc822; 1535190610@qq.com
Action: failed
Status: 5.0.0
Remote-MTA: dns; mx3.qq.com
Diagnostic-Code: smtp; 550 Mailbox not found.
http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000728


Von: 佰加乐连七胜鎹卡宴，侟一佰鎹五拾不限板块，2%时时反水，地址：http://y0.cn/22d <wordpress@freie-wirtschaftsfoerderung.com>
Betreff: [Geteilter Beitrag] 29. Unternehmerstammtisch Leipziger Westen bei DATA-team GmbH
Datum: 1. Juli 2017 11:12:27 MESZ
An: 1535190610@qq.com
Antwort an: 佰加乐连七胜鎹卡宴，侟一佰鎹五拾不限板块，2%时时反水，地址：http://y0.cn/22d <postmaster@es.yahoo.com>




佰加乐连七胜鎹卡宴，侟一佰鎹五拾不限板块，2%时时反水，地址：http://y0.cn/22d (postmaster@es.yahoo.com) glaubt, der folgende Beitrag könnte dich interessieren:


29. Unternehmerstammtisch Leipziger Westen bei DATA-team GmbH
http://freie-wirtschaftsfoerderung.com/29-unternehmerstammtisch-leipziger-westen-bei-data-team-gmbh-2/