1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Malware ?

Dieses Thema im Forum "Installation" wurde erstellt von DocDan, 21. März 2012.

Schlagworte:
  1. DocDan

    DocDan Member

    Registriert seit:
    17. Juni 2009
    Beiträge:
    9
    Zustimmungen:
    0
    Hallo Community,
    vielleicht kann mir jemand weiterhelfen, komme mit Googeln nicht weiter.

    Seit einiger Zeit und kürzlich immer öfter habe ich ein Problem, dass einige Seiten und zwar unregelmässig und immer auch wechselnd, mal die, mal eine andere beim ERSTEN Klick woanders umleiten und zwar irgend etwas mit

    riotorio.com.....Search ...Seite ohne tld

    z.B. sowas

    http:// * riotorio.com/search/?q=verwachsungen

    Fast alle Installationen (ca. 150) auf Wordpress basis 3.3.1. , der Server angeblich frei von Viren und Malware.

    Irgend eine phishing oder Malware, die sich eingefangen hat.

    Es passiert aber auch von Rechnern, die nicht in unserem System sind und so war ich sicher, dass es auf dem Server ist.

    Der Hoster sagt, es könnte was in der Wordpress installs sein oder .htaccess

    Hat jemand Ideen ?

    Danke und freundliche Grüße
    Daniel
     
  2. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Irgend wo muß doch eine Sicherheitslücke sein. Wie bist du bis jetzt vor gegangen, um das Problem zu beseitigen?
     
  3. DocDan

    DocDan Member

    Registriert seit:
    17. Juni 2009
    Beiträge:
    9
    Zustimmungen:
    0
    na bisher versuche ich rauszufinden, was das ist und wo die sitzen kann.
    Habe die Passwörter geändert.
    aber muss wissen, wie und wie ich die Malware rauslöschen kann
    Daniel
     
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.544
    Zustimmungen:
    59
    zuerst die traurige Warheit. Malware kannst du nicht rauslöschen. Wenn dein System gehackt wurde und Malware verteilt kannst du keiner Datei mehr auf dem Server trauen.

    Der Angreifer wird sicherlich nicht nur eine *sinnfreie* zufällige Weiterleitung installiert haben - sondern wird in der Regel

    a- sich einen Account auf dem Server eingerichtet haben
    b- er wird sich weitere Werkzeuge - Scripte, Grafiken auf dem Server gelegt haben
    c - er wird etwas in die Datenbank schreiben
    d- er wird etwas in die Scripte schreiben.
    e- er wird etwas hinterlegen, so dass er jederzeit etwas in den Scripten und an der Datenbank ändern kann.

    wenn ich einen Blog retten möchte beginne ich in der Regel mit den Bildern
    ~/wp-content/uploads/

    hier triffst du bei gehackten Blogs in der Regel Dateien mit 666 (jeder darf schreiben rechten - wenn dies so ist - tut dir einen gefallen lösch alles und spiel eine *saubere* Datensicherung zurück.

    Aber du willst ja dein System retten. Wenn du die Dateirechte auf 644 rw- r-- r-- geändert hast prüfe alle Dateirechte. Dein Angreifer kann sich eigene Dateien veröffentlicht haben - diese erkennst du daran, dass du mit deinem user Account die Rechte nicht ändern kannst geschweige die Datei löschen.

    Wer Dateien verändern kann legt auch neue Dateien an. Hier ist besonders beliebt der Code base64_decode

    Beispiel
    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    oder auch per Javascript.

    Wenn du keine saubere Datensicherung hast und die Daten vom Blog dir wichtig sind kann ich dir *kostenpflichtig* das Blog retten.

    Viel Glück bei der Suche

    ralf
     
  5. DocDan

    DocDan Member

    Registriert seit:
    17. Juni 2009
    Beiträge:
    9
    Zustimmungen:
    0
    Danke für die Hilfe und Angebot
    hast PM.
    Daniel
     
  6. DocDan

    DocDan Member

    Registriert seit:
    17. Juni 2009
    Beiträge:
    9
    Zustimmungen:
    0
    dann könnte ja auch mein Rechner (Mac) infiziert sein ?
    Oder sogar der Router und andere Rechner bei uns ?

    Gestern habe das Betriebssystem komplett neu aufgespielt, aber ich aheb ja die gesamten Backups auch bei mir auf dem Rechner, d.h. diese wäre ja dann auch infiziert ?

    Gruss
    Daniel
     
  7. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Administrierst du die Server selber?
     
  8. DocDan

    DocDan Member

    Registriert seit:
    17. Juni 2009
    Beiträge:
    9
    Zustimmungen:
    0
    nein, das sind managed server
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden