1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

FoxLingo-script - evtl. Schadsoftware? Wer kennt es?

Dieses Thema im Forum "Allgemeines" wurde erstellt von Fischer, 28. November 2012.

  1. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Hallo.

    Mir ist gerade Folgendes aufgefallen:
    Sobald ich einen Artikel per Edit anklicke, wird bei dem Artikel automatisch ein script angehängt. Bei visuell kann ich das natürlich nicht sehen, aber wenn ich auf HTML gehe, ist es da.

    Hier mal der Text, der automatisch angehängt wird:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Ich kann den Text zwar löschen, aber jedesmal, wenn ich wieder auf visuell gehe und danach auf HTML, sehe ich, dass der Text wieder angehängt wurde. Selbst wenn ich gar nichts am Text verändert habe.

    Da ich über scripte überhaupt nichts weiß, bin ich jetzt ein wenig beunruhigt. (Da bin ich ja schon froh, dass der angehängte Text als script gekennzeichnet ist, sonst wüsste ich überhaupt nicht, was es ist.)

    Da ich gerade dabei bin, meine Artikel alle mit aussagefähigen Tags zu versehen und die Quellenangaben zu aktualisieren, muss ich wohl oder übel alle Artikel anklicken. Was dann wohl zur Folge haben wird, dass das script überall eingetragen wird, (falls das nicht schon längst geschehen ist, ich weiß es erst, wenn ich alle Artikel durch habe ... zum Glück sind das noch nicht so viele).

    Folgende Daten sind meist sehr wichtig und sollten von dir im Beitrag genannt werden:

    - Adresse zum Blog (URL)
    - http://blog.amanita.square7.ch/

    - WordPress-Version - 3.4.2.

    - Verwendetes Theme, verwendete Plugins

    Thema:
    Nature von http://www.gabis-wordpress-templates.de/

    Plugins:

    Antispam Bee
    Avatars
    Broken Link Checker
    Counterize
    Counterize plugin: Browsers
    Counterize plugin: Countries
    Counterize plugin: Keywords
    Counterize plugin: Operating Systems
    Counterize plugin: Outlinks
    Counterize plugin: Pages
    Counterize plugin: Referers
    Counterize plugin: Traffic
    Favicon My Blog
    Lazyest Gallery
    Lazyest Gallery Extra Fields
    Slimbox
    Statify
    TinyMCE Advanced
    WordPress Database Backup
    Wordpress Video Plugin

    - Zuletzt gemachte Änderungen - Keine, außer Artikel schreiben und Aktualisierungen bestätigen. Ich habe auch keine Ahnung, seit wann dieses script bei mir »arbeitet«.

    - Bei Problemen mit Themes oder Codeabschnitten der entsprechende Code und ggf. ein Link zum Download des Themes - Siehe oben.
    Hier mal ein Artikel, bei dem ich das script zu Anschauungszwecken nicht raus gelöscht habe. ---> http://www.amanita.square7.ch/WordPress/archives/1068
    (Obwohl es wahrscheinlich sowieso schon bei allen (?) Artikeln angehängt wurde.)

    - (falls vorhanden) Fehlermeldungen - Fehlermeldungen gibt es bisher nicht. Allerdings weiß ich auch nicht, was Besucher »von außerhalb« für Meldungen sehen.

    Ich finde es persönlich i-wie schade, dass dieses script sich hier einfach so einnistet und ich nicht weiß, ob es schädlich ist, oder einfach nur lästig. Gerade heute hatte ich mir vorgenommen, die Artikel alle mal so zu taggen und mit Quellenangaben zu versehen, dass ich künftig nichts mehr daran machen muss. Durch dieses blöde »Ding« komme ich wahrscheinlich heute wieder nicht zum Abschluss. :(

    Es wäre schön, wenn mir jemand erklären könnte, was dieses script eigentlich macht und eventuell, wo es eigentlich her kommt und wie es in meine Artikel gerät. Vielen Dank schon mal im Voraus. :)

    Ach ja, das Einzige, was mir bei FoxLingo einfällt, ist das FoxLingo-Addon in meinem Firefox-Browser. Ob das etwas damit zu tun hat? Ich kann es mir i-wie nicht vorstellen, aber wer weiß das schon genau.

    Liebe Grüße.
     
  2. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    Was grundsätzliches: das Theme, was Du verwendest, hat in der angegebenen Quelle einen Zeitstempel von 2007, der letzte Kommentar dazu stammt aus dem Jahre 2009. Sorry, aber so etwas würde ich nie einsetzen, das ist schon ab Start eine Sicherheitslücke (2009, das war grob geschätzt WordPress 2.8, heute sind wir bie 3.4.2, und in der Zwischenzeit ist eine Menge passiert).

    Zum FireFox Add-On gibt es ja aktuell eine recht besorgniserregende Anmerkung eines Benutzers, aber ich kenne die Software nicht, daher kann ich hierzu nichts sagen.
    Es ist absolut ungewöhnlich, dass ein Skript sich im Dashboard mit reinhängt und sich in jedem Artikel "verweigt" - das lässt mich auf Schadcode tippen! Was Du sofort tun kannst:
    1. Sämtliche Zugangsdaten ändern - und ich meine wirklich alle, die mit WordPress oder Deinem Zugang bei square7 zu tun haben.
    2. Unbedingt darauf achten, dass Deine Passwörter nirgends zwischengespeichert werden (häufig ist das bei wp-login.php der Fall, weil viele zu faul sind, sich ihre Passwörter auf ein Blatt Papier zu schreiben; ebenso verhält es sich oft beim FTP-Client, obwohl zB FileZilla diesbezüglich als Sicherheitslücke bekannt ist, da es Passwörter im lokalen Rechner in Klartext ablegt)
    3. Den Webhoster informieren und fragen, ob ihnen etwas bekannt sei - der Schadcode kann auch direkt vom Server her kommen, die Lücke kann ein anderer Kunde auf demselben Shared Server sein
    4. Im FTP-Client alle Dateien und Verzeichnisse auf fast identische Zeitstempel anschauen, die nach dem Installationsdatum sind - das ist häufig der erste Hinweis auf Schadcode, und die ersten Angriffe gehen meist auf die unzähligen index.php oder dann direkt auf Javascript-Dateien.
    5. Falls Du befallene index.php findest, kannst Du als erste Massnahme deren Zugriffsrechte auch auf CHMOD 444 setzen, und ein paar Tage so belassen.
    6. Wichtig ist, Bereinigen allein reicht nicht, Du musst die Quelle für den Angriff herauszufinden versuchen, sonst kommt das immer wieder.

    Ich habe bei square7 seit mehr als 2 Jahren verschiedene private Blogs laufen, bis heute hatte ich keine Probleme damit - aber das muss nichts heissen, ich bin bloss einer von vielen, die dort hosten. ;)
     
  3. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Domino5702.
    Du machst mir Angst. :shock:

    Nun, was soll ich machen?
    Das Thema an sich habe ich schon mal verändert. (Themen-Bild)
    Ob das allerdings ausreichend ist, weiß ich nicht.

    Zu 1. - Sämtliche Zugangsdaten heißt wohl, das Passwort ändern? --- Mache ich gleich mal. (Würde dann auch das script verschwinden?)

    So, hab's gemacht. PW neu.

    Zu 3. - Webhoster informieren. - Das wird sicher seltsam, aber ich versuche es mal.

    Zu 4. - Böhmische Dörfer. Ich behalte das mal im Hinterkopf.

    Zu 5. - Wie erkenne ich befallene index.php's?

    Zu 6. - Nun ja. :( Wüsste ich die Quelle, wäre ich ja nicht so ratlos. :(
     
    #3 Fischer, 28. November 2012
    Zuletzt bearbeitet: 28. November 2012
  4. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    @Fischer: Dir Angst zu machen, lag nicht in meiner Absicht. Grundsätzlich, wenn Dir das was ich schrieb, als "böhmische Dörfer" erscheint, solltest Du über Dritte als Helfer nachdenken. Denn Deine Seite ist gefährlich, solange nicht klar ist, was die Ursache ist. Und Du riskierst, von Google zB. auf eine Sperrliste gesetzt zu werden, was Du sicherlich auch nicht willst.

    Dass Du das Theme mittlerweile angepasst hast, ist kein Argument, wenn es darum geht, dass es eine der Sicherheislücken ist, weil es alt ist. Und ich muss annehmen, dass es alt ist, aus den Gründen, die ich oben beschrieben habe. We nun Du das anders weisst, dann musst Du es auch schreiben.
     
  5. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Danke Domino5702.

    Naja, mit »mit Angst machen« war eigenlich nur gemeint, dass ich nicht weiß, wie ich damit umgehen soll.
    Meine jetzt nächste Aktion wäre, den webhoster anzuschreiben. Vielleicht kommt ja da etwas Informatives raus. :shock:

    Bin ich wirklich der Einzige, der solche scripts bekommen hat?
     
  6. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.361
    Zustimmungen:
    427
    Du wirst nicht der Einzige sein, aber die meisten hier, von denen Du Tipps bekommst, halten Themes, Plugins und Scipts aktuell und wissen auch was die Scripts tun. Es scheint so, dass Du irgendwann mal was installiert hast und dann nie mehr auf Aktualität geachtet hast.

    Das Passwort jetzt schon zu ändern, war einerseits gut, aber andererseits scheint das Script ja immer noch zu laufen. Wie Domino5702 schon geschrieben hat, wäre es wohl was für die Jobbörse hier im Forum. Dann kann sich das mal jemand genauer anschauen, der "Ahnung" davon hat.
     
  7. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Die Option, jemand bei square7.ch anzuschreiben, besteht ja noch. (Hab's leider noch nicht getan, weil ich immer noch auf der Suche nach dem Kennwort dafür bin. Aber das wird noch...)

    @Domino5702:
    Gefährlich ist mein blog ganz sicher nicht! Eher gefährdet, aber das wissen wir ja immer noch nicht genau. Das FoxLingo-script könnte auch einfach nur eine Dienstleistung sein. (*Nur mal so überleg*)
    Trotzdem finde ich es immer noch doof, dass es sich einfach so ungefragt hier einschleicht. Bin ich denn wirklich der Einzigste hier, den das betrifft?
    (Editiert mal Eure Artikel und guckt nach, was bei HTML steht. :?: )

    @SirEctor:
    Ich halte auch immer alles aktuell. Zum Glück wird einem ja immer angezeigt, wenn etwas nicht mehr aktuell ist. Habe gerade heute schon zwei plugins aktualisiert.

    Aber i-wie konnte mir bisher niemand sagen, was dieses script eigentlich macht.
     
  8. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    @Fischer: Du musst mir ja nicht glauben. Gehe mal auf Sucuri und lasse Deine Seite durchchecken. Ich habe das eben erst getan.
     
    #8 Domino5702, 28. November 2012
    Zuletzt bearbeitet: 28. November 2012
  9. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Nun habe ich doch noch mein PW für square7.ch wieder gefunden. :p
    Und auch gleich mal dort gefragt, was es mit diesem komischen script auf sich haben könnte.

    http://forum.square7.ch/viewtopic.php?f=4&t=401

    Nun habe ich alle Leute angeschrieben, die es betreffen könnte, bzw. die etwas darüber wissen könnten.
    Außer FoxLingo selber! Da suche ich noch nach einer Seite, wo ich mal richtig Dampf ablassen kann. :razz:
     
  10. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Ich glaube Dir doch!
     
  11. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Bei Sucuri kam Folgendes raus:

    error Blacklisted: Yes
    check Malware: No
    check Malicious javascript: No
    check Malicious iFrames: No
    check Drive-By Downloads: No
    check Anomaly detection: No
    check IE-only attacks: No
    check Suspicious redirections: No
    check Spam: No

    Nur mal so...
     
  12. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Jetzt gehe ich mal alle Artikel durch und lösche das script bei allen raus.
    Dann noch mal auf Sucuri, nur um zu sehen, ob es was gebracht hat.
     
  13. Fischer

    Fischer Member

    Registriert seit:
    9. November 2011
    Beiträge:
    19
    Zustimmungen:
    0
    Sucuri ist ja wohl auch nicht gerade aktuell. Ich habe dort verschiedene Adressen eingegeben und Sucuri meinte immer, dass da was falsch (error) ist.

    Was ist passiert?
    Zu erst einmal habe ich mein Passwort in dem Blog geändert. (War's das schon?)
    Danach mal verschiedene Artikel angeklickt. ... Kein script mehr da!
    Freuen! :razz:

    Keine Ahnung, woran es gelegen hat. Vielleicht haben ja die Experten eine Idee.
     
  14. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    Ich würde auch einen frischen FTP-Zugang definieren und den alten löschen.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden