MALWARE Angriff auf WordPress-Blogs - Aktuell

das "// Silence is golden." ist aber ein normaler eintrag.

 

Welche WP-Version hattest du laufen?

 

in meinen plugins verwende ich aber auch //silence is gold
also steckt der code in den templates, oder wo genau überall?
denk dran dass die templates auch ein sicherheitsrisiko darstellen können

 

my blogs are all clean. sone überprüfung dauert ja keine 3min.
ich hab die seite mal durchscannen lassen, keine malware/viren aktivitäten.
wird als unpopuläre nutzlose seite eingestuft vom scanner^^

 

öhh, filezilla runterladen (2-3 min) und dann mit scriptly nach dem suchstring im kompletten ordner suchen.
solche adds wirst du mit keinem virenscanner finden. nicht in PHP files.

die seite habe ich mit AVG gescannt man braucht dafür keinen lokalen scanner. http://www.avg.com.au/resources/web-page-scanner/

 

für lokalen Schutz empfehle ich wärmstens Malwarebytes, hat Zeugs gefunden, das Antivir, Windows Firewall, Kaspersky u.v.a. nicht gefunden haben.

 

Ich halte von dieser Panik verbreitenden Überschrift gar nichts. Genauso wenig von solchen Phrasen wie "Überprüft bitte Eure Blogs und dort bitte unbedingt alle Index.php-Dateien". Jeder neue User der hier her kommt, macht sich vermutlich vor Angst erstmal ins Höschen und bekommt gleich einen negativen Eindruck von WordPress.

Meist ist es die Unachtsamkeit der User, die einen solchen Angriff ermöglicht. Themes über Google suchen und nicht genau in den Code schauen, 50 aktive/inaktive Plugins, irgendwelche JS-Spielereien die im Netz gefunden werden etc. können ein Grund dafür sein. Ebenso ist es nicht auszuschließen, dass andere Systeme die ebenfalls auf dem Server betrieben werden dem Angreifer Einlass gewähren. Ganz zu schweigen von unsicheren Zugangsdaten für FTP, MySQL oder WP sowie falschen Dateirechten. Es ist auch nicht ungewöhnlich, dass sich der Code in so ziemlich jeder index.php oder JS Datei auf dem Server breit macht.

Vielleicht könnte man den Titel mal editieren.

 

// Silence is golden tja, manchmal sollte man solche Einträge im Sourcecode beherzigen, schließe mich der Meinung von infected zu 100% an.

 

http://www.threatfire.com/de/download/ als Ergänzung zum Antivir und alles ist gut

@infected - halte auch nix von dem Geschrei, bin auch bei one.com gehosted und muss mir keine Sorge wegen dem TE seiner Panikmache machen

 

Sorry, aber es war lediglich ein Versuch andere (neue und unerfahrene) User davor zu bewahren gleich in Panik zu verfallen und alle Sicherheitsaspekte in Frage zu stellen.

Auf das Problem hinzuweisen ist ja vollkommen in Ordnung, da bin ich voll bei Dir. Und vielleicht gibt es auch eine aktuelle Sicherheitslücke in WP aber der Titel und der erste Satz Deines Beitrags haben in meinem Augen "Bildzeitungsniveau".

Unabhängig von der Anzahl meiner Beiträge: Ich versuche hier jedem nach bestem Wissen und Gewissen zu helfen und bin weit davon weg irgendwelche Threads kaputt zu machen.

So, ich mach mich dann mal aus dem Staub. Ist eigentlich auch nicht meine Art so zu antworten, dass User sich gleich angegriffen fühlen. Vermutlich war ich gerade nur zur falschen Zeit im falschen Thread unterwegs...

 

Ich hatte das gleiche Problem

Hallo, genau das gleiche Problem hatte ich auch. Bei mir war auch der Bali Code auf all meinen Internetseiten. Und das schöne daran ist es liegt NICHT an wordpress.

Wer das selbe Malware-Code snippet hat, sollte mal in seine FTP-Log Files reinsehen. Der Code kommt nicht per HTTP Zugriff, sondern direkt per FTP Zugriff auf den Server.
Die Angriffe kamen bei mir über einen Provider aus Rom.

Ich bin mir mittlerweile zu 99,5% sicher, dass die FielZilla Passwort-Datei geklaut wurde. Jedenfall waren die Passwörter nur dort gespeichert und mussten allesamt geändert werden.

Um zu verhindern, dass die Seiten bei Google auf dem Index landen, sollte man folgendes tun:
- Mit einer .htacess Datei die Ganze Internetseite sperren
- Wichtig: FTP Passwort ändern und nicht im FTP-Programm eingeben
- Malware Code aus den index.html/php start.html/php home.php/html Dateien entfernen
- htacces Datei löschen

Mich würde mehr als nur brennend interessieren, wo sich der Wurm/Trojaner/böses Script versteckt, dass für den Passwortklau verantwortlich ist.

 

Spyeye Virus über bali-planet.com

Moin aus Hamburg!

Kann nur warnen. Bei mir exakt gleiche Konstellation!

Datenklau der FTP-Zugangsdaten von Filezilla und Abänderung aller
index-Dateien mit iframe im Body-Tag.

Ruft man die veränderte Seite auf, installiert sich der Spyeye-Virus
als portwexexe.exe und legt ein gleichlautendes Verzeichnis an.

Weitere Veränderungen sind massiv. Sowohl die Registry als auch
Systemdateien werden verändert, die Systemwiederherstellung gekickt.

Sitze seit 2 Tagen an der Back-Up-Aufspielung und am PC Cleaning.

In vielen Foren wird empfohlen ein format c: zu machen, es gibt aber
gute Anleitungen die Dateien zu löschen, das System wieder herzustellen
und die Registry zu bereinigen -> Malwarebytes ist sicher ein Mittel der Wahl. Good Luck!

 

alles ein und die selbe person die schreibt...

vote4close
vote4delete

 

Vll ein H O A X ?

 

Oh, jetzt hab ich schon FileZilla deinstalliert und die Passwörter geändert.