1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Trojaner-Warnung auf meinen Wordpress-Blogs

Dieses Thema im Forum "Installation" wurde erstellt von schorsch, 21. Januar 2008.

  1. schorsch

    schorsch Member

    Registriert seit:
    15. März 2007
    Beiträge:
    9
    Zustimmungen:
    0
    Besucher auf meinen Blogs Freiwillige Feuerwehr Bakum und Fischereiverein Bakum warnen mich immer wegen eines Trojaners, der angeblich von dieser Seite kommt. Obwohl ich mein die Wordpress-Installation immer wieder auf die neueste Version (jetzt 2.3.2) aktualisiert habe, lässt sich das Problem anscheinend nicht auf dem Grund gehen. Was kann ich tun?
     
  2. SuMu

    SuMu Well-Known Member

    Registriert seit:
    5. Januar 2006
    Beiträge:
    6.142
    Zustimmungen:
    41
    wie wollen die Besucher das bemerken?
    Ich war auf deiner Seite und es ist nix passiert
     
  3. marX

    marX Well-Known Member
    Ehrenmitglied

    Registriert seit:
    5. Oktober 2006
    Beiträge:
    12.943
    Zustimmungen:
    0
    Keine Warnung hier (habe FreeAV drauf).

    Such mal hier im Forum nach "Trojaner", gibt schon den einen oder anderen Thread dazu. Ansonsten schreib mal, welcher Virus gemeldet wird. Vielleicht lässt sich damit was anfangen.

    Nachtrag: auf der Fischereiseite hatte ich grade ne Meldung: "TR/Dldr.HTML.Agent.IS"
     
    #3 marX, 21. Januar 2008
    Zuletzt bearbeitet: 21. Januar 2008
  4. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    du hast in einem iframe einen counter oder so...
    nimm das Ding weg, das mag sich auf meinem PC installieren

    mein Kaspersky hat sich zu tode geschrien!

    lg
     
  5. schorsch

    schorsch Member

    Registriert seit:
    15. März 2007
    Beiträge:
    9
    Zustimmungen:
    0
    Counter entfernt

    Vielen Dank für die Rückmeldungen. :)Auf Freiwillige Feuerwehr Bakum habe ich den Counter entfernt. @Monika: es wäre nett, wenn ich eine Rückmeldung bekommen könnte, ob Kasperski jetzt noch meckert.
    Aufgrund der Tatsache, dass zwei von drei Kommentatoren keinerlei Trojanerwarnungen beim Besuch der beiden Wordpress-Blogs hatten, schließe ich, dass es dabei möglicherweise auch um ein Problem der Systeme der Nutzer handeln könnte. (Veraltete Browserversionen, veraltete Betriebssysteme). Ist dies abwegig? Merkwürdigerweise habe ich nie Trojaner-Warnungen bei Besuchen von Wordpress-Blogs gehabt. Ich benutze die aktuelle Version des Firefox + Windows XP im eingeschränkten Benutzerkonto. Vielleicht gibt es bei älteren Internet Explorern schneller Probleme? Ich habe hier auch ein wenig nach Postings zum Thema "Trojaner" gesucht. In welchem Bereich werde ich fündig?
     
  6. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    Hi
    mein Kaspersky hat nicht mehr gemeckert,
    zum Thema Trojaner wirst du unter Google fündig

    Du weißt wie der Counter hieß woher Du ihn hast, gib das und dann Trojaner dazu und suche...

    aber pass auf, die INFo erschlägt Dich ;)

    ein Trojaner ist ein Spion, das was die deutsche Regierung bald auf jeden PC installieren wird- :(

    ein Trojaner kann ein fremdes System ausnutzen etc etc...


    und ich surfe mit Flock, und nutze viele Sicherheitssyteme, aber die haben sich alle gemeldet.

    viele Surfer haben keine Sicherheitssysteme, die verbreiten die bösartigen Geschwüre wie einen Trojaner weiter - vielleicht sogar mit jeder Email....

    :(

    ohne aktivem -neuem- gutem Virenprogramm ins Internet zu gehen ist schon fast fahrlässig ...

    Counter: suche nach dem stwc counter, den installierst Du selber, da kann sowas nicht passieren- fremde Counter sind oft gefährlich



    lg
     
  7. schorsch

    schorsch Member

    Registriert seit:
    15. März 2007
    Beiträge:
    9
    Zustimmungen:
    0
    Ich habe jetzt - entgegen meiner Gewohnheit - mal vom Windows XP - Administratorkonto aus mit dem IE7 meine beiden Blogs Freiwillige Feuerwehr Bakum und Fischereiverein Bakum aufgerufen . Sofort warnte mich Free AV bei beiden Blogs vor dem obengenannten Trojaner. Mit Firefox gab es kein Problem. Daraufhin habe ich mir die neueste Wordpress_Installation runtergeladen und alle Wordpress-Dateien noch einmal auf dem Server der Fischereihomepage ausgetauscht (bis auf die config.php Datei natürlich. Testweise tauschte ich auch das default.de-Theme aus. Beim Aufruf mit IE7 erhielt ich trotzdem die gleiche Meldung beim aufruf von fv-bakum.de. Wie kann dass? Wie kann sich ein Trojaner immer noch auf der Seite befinden, obwohl ich alle Dateien bis auf den upload - Ordner, auf dem sich nur Fotos befanden und dem myfotos - Ordner, wo sich ebenfalls nur Bilder befanden? Ich weiß keinen Rat mehr. Beide Blogs laufen auf einem 1&1 -Webspace.
     
    #7 schorsch, 22. Januar 2008
    Zuletzt bearbeitet: 22. Januar 2008
  8. jottlieb

    jottlieb Well-Known Member
    Ehrenmitglied

    Registriert seit:
    20. August 2005
    Beiträge:
    17.381
    Zustimmungen:
    1
    Der Code kann ja immer noch in einem der Beiträge sein.

    Oder es ist schlicht ein Fehlalarm.
     
  9. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.955
    Zustimmungen:
    47
    Dieses IFrame mit dem Zähler (?) ist immer noch drin, und zwar im Beitrag "Winterfest mit Ausrufung der Fischerkönige". Da wird mit Javascript irgendwelcher Code zusammengebastelt. Sowas ist immer verdächtig, springen Virenscanner bestimmt gerne drauf an. Ist ja möglicherweise wirklich ein Trojaner.

    Gruß
    Ingo
     
  10. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    Fischerei Seite meldet bei mir auch Trojaner

    wieder

    ich gebe dir die url zu Ding, dann findest du es vielleicht.

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    der will eine
    IEShow.exe herunterladen




    lg
     
  11. schorsch

    schorsch Member

    Registriert seit:
    15. März 2007
    Beiträge:
    9
    Zustimmungen:
    0
    Danke Putzlowitsch! Ein Blick in den Quellcode bestätigt Deinen Hinweis:
    Ich habe daraufhin diesen Beitrag gelöscht. Wie kann es sein, das dieser Code in diesen Beitrag kam? Wie kann man dies verhindern?
     
  12. schorsch

    schorsch Member

    Registriert seit:
    15. März 2007
    Beiträge:
    9
    Zustimmungen:
    0
    Danke Ingo, dass ist schon mal die Ursache:

    Ein böser Code wurde einfach in meinen Beiträgen eingeschleust, der auf eine wp-stats-info …. Seite verwies, von der anscheinend dieser Trojaner seinen Weg in fremde Rechner sucht. Ein einfacher Rechtsklick mit der Maus “Seitenquelltext anzeigen” reichte aus, diesen Code in den Beiträgen sofort zu entdecken. Selbstverständlich habe ich die “infizierten” Beiträge sofort entfernt. Bei einem Update der Wordpres-Installation werden die Beiträge nicht geändert. Deshalb konnte der schädliche Code beim Auswechseln der Wordpress-Dateien auch nicht beseitigt werden.
    Nur was soll man jetzt noch machen? Wie kömmt dieser böse Quelltext in mein Blog? Wie kann man verhindern, das dieser Code sich so einfach in ein Wordpress-Blog schleichen kann? Ich habe alle Dateien der Installation getauscht, meinen Rechner mit dem Antivirenprogramm Antivir gescannt. Nun weiß ich auch nicht, was ich sonst noch so tun kann.

    Ich habe in meinem Blogartikel Boeser Code im Wordpress-Blog « Schorschs World dieses Problem ebenfalls zur Diskussion gestellt, da dies sicher auch andere betrifft.
    Danke für Eure weiteren Tipps und Unterstützung,
    Schorsch
     
    #12 schorsch, 23. Januar 2008
    Zuletzt bearbeitet: 23. Januar 2008
  13. Alphawolf

    Alphawolf Well-Known Member
    Ehrenmitglied

    Registriert seit:
    31. Mai 2005
    Beiträge:
    3.315
    Zustimmungen:
    0
    Ich hatte kürzlich eine ähnliche Attacke. In meinem Blog-Footer wurden Links zu Sex- und Paris Hil**n-Seiten gesetzt, die aber in einem DIV standen, der versteckt war. Man konnte sie also nicht sehen (bzw. nur im Quelltext). Ursache war, dass jemand den Hook wp_footer nutzte, um das in den Footer zu schreiben, denn in der Theme-footer.php war nichts dergleichen.

    Der Code wurde in der /wp-includes/default_filters.php eingetragen, sodass die Links auttomatisch geschrieben wurden: Fixes wordpress.net.in Spam footer Injection Infected by Goro class-mail.php and default-filters.php backdoor » By Avice De'vereux » WordPress, injection, vulnerability Bei mir war's nur Punkt 4, der zutraf.
     
  14. schorsch

    schorsch Member

    Registriert seit:
    15. März 2007
    Beiträge:
    9
    Zustimmungen:
    0
    Schön, wer ist der "Jemand", und wie hast Du dieses Problem gelöst? Was ist das für Normalsterbliche, ein "Hook"? Wo war die Sicherheitslücke? Wie konnten die Dateien von außen verändert werden?
     
    #14 schorsch, 23. Januar 2008
    Zuletzt bearbeitet: 23. Januar 2008
  15. Arno Simon

    Arno Simon Well-Known Member

    Registriert seit:
    30. November 2005
    Beiträge:
    2.170
    Zustimmungen:
    0
    steht alles in oben (von alphawolf) gepostetem Link bzw. den darin enthaltenen weiterführenden Links.

    vG

    Arno
     
  16. Alphawolf

    Alphawolf Well-Known Member
    Ehrenmitglied

    Registriert seit:
    31. Mai 2005
    Beiträge:
    3.315
    Zustimmungen:
    0
    Das gibt's doch nicht. :???: Jetzt hab ich gerade nochmal geschaut und der Eintrag in /wp-includes/default_filters.php schon wieder drin. Jetzt habe ich auch die class_mail.php gelöscht, mal sehen ob er heute Nacht wieder schreibt..
     
  17. schorsch

    schorsch Member

    Registriert seit:
    15. März 2007
    Beiträge:
    9
    Zustimmungen:
    0
    Kommt der böse Code über Kommentare und Trackbacks?

    Ich hatte in den letzten Tagen weitere merkwürdige "Zusatzeinträge" in unserem Feuerwehrblog: in einem Eintrag wurde Text in spanischer Sprache hinzugefügt. Heute morgen wurde ich über einen Kommentar iper Email nformiert und fand in meinem Blog einen angeblichen Google - Link zu Handy - Rufmelodien. Ich nehme an, dass über diese Lücke der unerwünschte Text und Quellcode ins Blog kommen kann. Daher werde ich erstmal alle Kommentar- und Trackbackfunktionen deaktivieren. Ist eigentlich ja schade. Ein Stück Wordpress-Funktion wird zerstört durch derartige Sicherheitslücken ...
     
  18. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    ich würd mal sagen dein server ist offen wie ein Scheunentor ...

    :???:
     
  19. SusanneK.

    SusanneK. Well-Known Member

    Registriert seit:
    14. Februar 2006
    Beiträge:
    109
    Zustimmungen:
    0
    @schorsch,

    weißt du mittlerweile, wie die auf deinen Server gekommen sind?
     
  20. Andreas_S

    Andreas_S Well-Known Member

    Registriert seit:
    29. Dezember 2005
    Beiträge:
    95
    Zustimmungen:
    0
    Amazon-Anzeigen und iFrame-Tag

    Ich habe auch gerade telefonisch erfahren, dass bei einem Zugriff auf mein Blog der Kaspersky-Virenscanner "geschrien" hat.
    Zu rekonstruieren war das telefonisch nicht.
    Aber nach der Lektüre dieses Threads hier glaube ich zu wissen, woran es liegen könnte, dass Kaspersky "schreit": Amazon-Buchanzeigen könnten es sein wie der folgdende Code zeigt:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Kommende Woche bin ich ohnehin bei dem Anrufer zu Besuch und werde das mal testen. Und dann werde ich es Euch wissen lassen.

    Grüße!
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden