WordPress Blog mit Schadsoftware VIO Player befallen?!

Hallo Leute,

ich habe leider ein kleines Problem mit meinem WordPress Blog.

Es handelt sich dabei um einen privaten, passwortgeschützten (PrivateOnly PlugIn) Blog, der bei Strato gehostet wird.
Seit heute kommt bei jedem der sich am Blog anmeldet ein PopUp Fenster mit der Aufforderung eine Software namens "VIO Player" herunterzuladen. Dieses PopUp kann nicht geschlossen werden.

Hatte jemand schonmal dieses Problem und weiss, wie ich dies wieder entfernen kann??

 

So, nachdem das Problem ja aufgetreten war und ich selbst am PC dieses PopUp bekam und so auch nicht mehr auf den Blog kam, war mir aufgefallen, dass mich meine WordPress App auf dem Windows Phone wenigstens noch in den Admin-Bereich meines Blogs ließ. Dort hab ich mir die installierten PlugIns angesehen und auch die Anmelde Protokolle. Dabei gab es aber keine Auffälligkeiten. Dann hatte ich mich per FTP mit dem Webspace verbunden und nach auffälligen Dateien anhand des Änderungsdatums gesucht. Sämtliche zuletzt geänderten Dateien lagen aber schon mindestens eine Woche zurück.
Danach hatte ich aufgrund meiner geringen WordPress Kenntnisse den obigen Post verfasst.
Weil es mir keine Ruhe gelassen hat, bin ich dann einfach mal Datei für Datei durchgegangen und habe mir die Inhalte angesehen und versucht mit meinen laienhaften Kenntnissen nach ungewöhnlichen Einträgen zu suchen.

In den Header.php Dateien der themes-Verzeichnisse ist mir dann folgender Eintrag aufgefallen:

Nach dem Entfernen dieses Eintrags ist das PopUp verschwunden.
Was mich wundert ist aber, dass das Änderungsdatum der Dateien, das Erstelldatum des Blogs vor einigen Wochen war.

Vielleicht hilft dieser Thread aber trotzdem denjenigen weiter, die das gleiche Problem haben...

Was mich trotzdem interessieren würde ist, wie das passieren konnte... wenn jemand Ideen oder Vermutungen hat, immer her damit!!

Gruß

 

Nur wie finde ich diese Lücke?

Der Blog ist bei Strato gehostet... ich habe nur 6 PlugIns installiert... sämtliche Installationen (PlugIns, Themes...) sind auf dem aktuellsten Stand. Insgesamt gibt es nur 18 Benutzer, davon 2 Administratoren, die beide ich benutze... Kennwörter sind meiner Meinung nach sicher (hab sie aber trotzdem natürlich eben nochmal geändert)

 

Also ich habe dieses Sicherheitspaket nicht. Wäre es denn auch möglich, dass es eher ein Sicherheitsproblem von Strato ist, als von der WordPress Installation? Ich hatte letztes Jahr schon einmal so eine komische Geschichte mit Strato.

Da habe ich eine Mail von denen bekommen, dass mein Webauftritt gehackt worden sei und sich von dort aus Schadsoftware verbreitet. Meine Domain wäre dann erst mal gesperrt, bis ich die Schadsoftware entferne.

Da gingen dann einige Mails hin und her, da auf meiner registrierten Domain Garnichts hinterlegt war. Das Einzige, was ich zu der Zeit genutzt habe ist der Webspace um per FTP einige Fotos dort abzulegen. Auf Anfrage ob sie mir denn sagen könnte was das für Schadsoftware sei konnte man mir keine Auskunft geben. Deren Sicherheitssysteme hätten das halt festgestellt und das wäre so. Welche Dateien das nun genau wären, könnten sie auch nicht nachgucken. Ich hab dann nochmals darauf hingewiesen, dass dort nur Fotos liegen würden und ansonsten Garnichts. Daraufhin sollte ich dann halt komplett alles von meinem Webspace löschen. Wenn ich das nicht tun würde, hat man mir rechtliche Schritte angedroht. Also blieb mir nichts anderes übrig als sämtliche Fotos zu löschen -.-

Ich bin jetzt grad mal diese Exploit-Datenbank durchgegangen, habe aber nichts gefunden, was für die Sicherheitslücke verantwortlich sein könnte. Als nächstes werd ich mir mal den anderen Link in Ruhe durchlesen um weitere Sicherheitsmaßnahmen ergreifen zu können.

Momentan schiebe ich die Schuld für die Ganze Sache aber eher Strato zu

 

Nein, Web-FTP

 

Bezüglich des FTP Passworts im Klartext: Web-FTP funktioniert über den normalen Kunden-Login auf die Administrationsoberfläche des Strato Kontos über https. Um Web-FTP dann zu nutzen, sind keine weiteren Nutzereingaben notwendig. Der dafür vorgesehene FTP-Zugang für Software wie FileZilla zum Beispiel wurde noch nie genutzt. (Ein sicheres Kennwort für den Zugang wurde trotzdem selbstverständlich bei Kauf des Paketes vor vielen Jahren gesetzt)



Plugins sind folgende installiert:
- Private Only
- Simple Login Log
- Subscribe2
- Limit Login Attempts (habe ich heute erst installiert)
- NextGEN Gallery
- BackWPup (habe ich aber heute wieder deinstalliert, da ich gesehen habe, dass Strato eine eigene Backup Funktion eingebaut hat)

Mein Rechner ist (meiner Meinung nach) Malware-frei.

Zwischen diesen beiden Vorfällen im letzten Jahr und gestern, ist mein Rechner auch einmal wegen Wechsel von Windows 8 Enterprise auf Windows 8.1 Professional neu installiert worden.


Was mir noch zu dem PlugIn "Simple Login Log" aufgefallen ist. Dort werden ja die Logins der einzelnen Benutzer angezeigt. Es gibt einen Reiter "Anmeldeversuch" bei dem grundsätzlich "Erfolgreich" steht. Leider werden keine "fehlgeschlagenen" Login-Versuche angezeigt. Ich habe selbst mal versucht mich mit einem falschen Passwort anzumelden, was natürlich nicht funktioniert hat. Diese Anmeldeversuche werden aber anscheinend nicht mitgeloggt. Gibt es eine Möglichkeit auch fehlgeschlagene Anmeldeversuche anzeigen zu lassen??