Seite gehackt ?

Dieses Thema im Forum "Allgemeines" wurde erstellt von TJ66, 22. Januar 2011.

  1. TJ66

    TJ66 Member

    Registriert seit:
    12. Oktober 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo Zusammen,

    ich hoffe es kann mr jemand weiterhelfen. Seit heute morgen habe ich das Problem wenn ich erstmalig meinen blog aufrufe, das dann automatisch Java gestartet und der VCL Media Player gestartet wird. Im Anschluss wird der Browser geschlossen. Wenn ich den Browser danach wieder öffne, erscheint der Blog ohne Probleme (Browser= Firefox 3.613). Wenn mein Blog geladen wird, erscheint dann unten in der Fussleiste "Übertragen der Daten von finnerdy.com bzw. auch mal eine IP 80.91.191.158.
    Die Überprüfung unter WHOIS ergab das die Seite auf die Bahamas verweist und die IP in die Ukraine. Kann es sein das mein Blog in gehackt wurde und falls ja, was wäre am besten zu tun ??:sad:

    Gruß
    Thorsten
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.003
    Zustimmungen:
    3
    Hallo,

    Datenbank zurücksichern. Die Log-Files auf unregelmäßigkeiten untersuchen.
    Sicherheitslücke suchen und schliessen. Wenn du diese nicht selber finden kannst - jemanden mit der Suche beauftragen (wink mit dem zaunpfahl)

    Aktuelle WP Version installieren
    Nicht verwendete Pluigns löschen
    Spam - Kommentare löschen
    WP - Admin bereich schützen
    Standard User (z.b. User admin) - löschen
    Datenbank prefix verwenden.

    Viel Glück

    ralf
     
  3. TJ66

    TJ66 Member

    Registriert seit:
    12. Oktober 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo Ralf,

    da bin ich wieder nachdem mich auch Virus dahingerafft hat.

    Beim suchen der Sicherheitslücke kann ich bestimmt Hilfe gebrauchen. Ich hab festgestellt, das die mir in der gesamten DB (auch in den bckup-Dateien-aber doppelt gesichert auch auf meinen PC's) überall eine index.php abgestellt haben mit einen Code auf die entsprechende Ip-Adresse bzw. auch die entsprechenden index.php mit diesem Code versehen haben.

    Ich würde jetzt mal die letzte Version zurücksichern, PW ändern und wieder auf WP 3.04 updaten.

    Gruß
    Thorsten
     
  4. Marcus.Kober

    Marcus.Kober Well-Known Member

    Registriert seit:
    6. Oktober 2010
    Beiträge:
    54
    Zustimmungen:
    0
    Hört sich stark nach einer iFrame-Injection an. Mögliche Ursache ist hier ein Trojaner, der auf deinem Rechner FTP-Daten ausgespäht hat. Wichtigste Vorsichtsmaßnahme ist hier, dringend die FTP-Daten zu ändern (Nutzername und Passwort), da sonst immer wieder der iFrame an die index.php gehängt wird.

    Das Ändern der FTP-Daten sollte dabei eigentlich genügen. Und natürlich die Entfernung des entsprechenden Trojaners (frag mich nicht, wie, weil ich leider kein Systemadmin bin und mich auch mit Windows nicht wirklich auskenne).

    Also: ändere bitte ganz ganz dringend und schnell die FTP-Daten für deinen Server (oder dein Hostingpaket).

    Edit: Am besten ist es natürlich, wenn Du die FTP-Daten _nicht_ an deinem noch infizierten Rechner änderst, sondern von einem anderen (hoffentlich sauberen) Rechner aus. Oder natürlich einfach nach Bereinigung deines Rechners.
     
    #4 Marcus.Kober, 24. Januar 2011
    Zuletzt bearbeitet: 24. Januar 2011
  5. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    Marcus hat recht, es scheint ein IFrame-Injection zu sein, ich hatte im vergangenen Jahr meine Bekanntschaft damit gemacht. Zu beachten wäre, dass der Eindringling nicht zwingend auf Deinem Rechner sein muss (wobei als erste Massnahme ein Check des eigenen Rechners mit topaktuellem Virenscanner trotzdem unerlässlich ist).

    Hier kurz zusammengefasst meine sonstigen Beobachtungen:

    Du kannst problemlos die Dateirechte sämtlicher index.php (auch diejenigen in plugins und themes) auf 444 setzen, nachdem Du die schadhaften Zeilen entfernt hast;

    überprüfe auch alle Javascripts und Stylesheets, nach meiner Erfahrung können diese in einer zweiten Infektionswelle auch befallen werden

    gebe in den FTP-Client die Zugangsdaten jedesmal manuell ein und speichere sie nicht ab (Stichwort FileZilla Servermanager). Lösche nach Trennen der FTP-Verbindung jedesmal die persönlichen Datren im FTP-Client vor dem Schliessen (in FileZilla ist es unter Bearbeiten -> Persönliche Daten löschen...).

    informiere auch Deinen Webhoster, denn ich habe gelesen, dass die Verbreitung des Schadcodes und die entsprechenden Schwachstellen sich auch direkt auf dem Server erfolgen können. Wenn Du ein shared hosting Paket hast, frage an, ob der Hoster bereit ist, Deine Präsenz auf einen anderen Server zu legen.

    Nach meinen Erkenntnissen erkennt der Virus, dass er "aufgeflogen" ist und stellt seine Tätigkeit nach ein paar erfolglosen Versuchen, Deine Dateien erneut zu infizieren, ein. Ich konnte zum Beispiel sehen, dass die Versuche täglich etwa zur selben Zeit stattgefunden haben, und als ich die Schreibrechte entzog, war nach 24 Stunden Ruhe.

    Ausserdem: eine Infizierung fand innerhalb einer Ordnerstruktur nur in den obersten beiden Ebenen statt, also Ordner/Unterordner/Unterordner wurde in der untersten Ebene nicht mehr infiziert (immer ausgehend vom Root Deiner Installation - kann, muss aber nicht sein)

    LG Domi
     
    #5 Domino5702, 24. Januar 2011
    Zuletzt bearbeitet: 24. Januar 2011
  6. TJ66

    TJ66 Member

    Registriert seit:
    12. Oktober 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo Zusammen,

    Vielen Dank für eure Hilfe.

    Das Problem ist beseitigt und es funktioniert wieder alles.

    LG
    Thorsten
     
  7. Loewenherz

    Loewenherz Well-Known Member

    Registriert seit:
    23. März 2005
    Beiträge:
    117
    Zustimmungen:
    0
    Hi,

    ich habe dasselbe Problem. Aufgeflogen ist die Kiste, da die Seite aufgrund der fehlerhaften iFrames nicht mehr funktionierte. Ganz schlauer Hack...

    System: Wordpress, aktuelle 3.0.4 mit 5 Plugins in den jeweils aktuellsten Versionen
    Ich habe mittlerweile alles gemacht: Passwörter geändert (FTP, Confixx, Wordpress-Admin), alle Dateien neu hochgeladen, alle Free-Themes entfernt und das WP Standard-Theme verwendet etc. Trotzdem ist die Seite am 31.01. wieder gehackt worden.

    Die FTP-Zugangsdaten können bei mir kaum abgegriffen worden sein, sonst wären wesentlich mehr Webseiten betroffen. Und direkt neben der betroffenen WP-Installation liegt eine zweite im Webpaket, die sauber ist.

    Im Moment säubere ich also wieder den Webspace und bin gespannt, ob der Hack wieder kommt... Bin schon mal den Tipps hier gefolgt und habe alle index.php auf 444 umgestellt. Und außerdem mal den Hoster informiert - bislang dachte ich, die Infiltration wäre über ein Freetheme geschehen und hatte den Provider deshalb gar nicht erst informiert.
     
  8. infected

    infected Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.816
    Zustimmungen:
    0
    Das muss nichts heißen.

    Benutzt Du Filezilla? Schau mal hier: http://www.blogdot.de/280/site-hacked-iframe-src-zxstats-or-bali-planet-com-script-var-zaee/

    Einen Thread zu dem Bali-Gedöns gab es hier schonmal: http://forum.wordpress-deutschland.org/allgemeines/81569-malware-angriff-auf-wordpress-blogs-aktuell.html
     
  9. Loewenherz

    Loewenherz Well-Known Member

    Registriert seit:
    23. März 2005
    Beiträge:
    117
    Zustimmungen:
    0
    Danke für die Hinweise, ich mach im anderen Thread weiter.