ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://archiv.abakus-internet-marketing.de/foren/

Wordpress-Ärger - Wie Infektion finden

https://archiv.abakus-internet-marketing.de/foren/viewtopic.php?f=1&t=106255

Seite 1 von 1

Wordpress-Ärger - Wie Infektion finden

Verfasst: 20.02.2012, 12:08
von SeriousBadMan
Hallo,

wie ich herausgefunden habe, habe ich offenbar eine Wordpress-Infektion, wenigstens hat mir jemand mitgeteilt, dass eine US-Seite die betreibe bei ihm Malware heruntergeladen hat und er den Computer neu-aufsetzen musste, um es loszuwerden. Ich selbst bekomme absolut gar nichts, mein Anti-Virus-Programm (ESET NOD32 Antivirus) verhält sich absolut ruhig.

Laut https://www.avgthreatlabs.com/sitereports/ gibt es einen a) Link to exploit site und b) ein Blackhole exploit kit. Genauere Infos gibt AVG leider nicht aus.

Einige andere Website-Scanner im Netz (z.B. https://sitecheck.sucuri.net/scanner/) finden nichts.

Frage: Was soll ich jetzt machen? Gibt es irgendeinen wirklich zuverlässigen Scanner der auch ein paar Details zu dem Schadprogramm gibt? Und was mach ich jetzt gegen das Problem? Ich benutze Wordpress eher selten und hatte daher noch nie so ein Problem.

Verfasst:
von

Verfasst: 20.02.2012, 12:35
von Malte Landwehr
Es gibt diverse Security Scan Plugins für Wordpress. Die kannst du installieren und die checken dann deine Installation nach bekannten Wordpress-Angriffen. Welches dieser Plugins am besten ist kann ich dir aber auch nicht sagen.

Verfasst: 20.02.2012, 12:55
von Unique Contents
Versuch es mal mit https://www.urlvoid.com/

Verfasst:
von

Verfasst: 20.02.2012, 14:02
von Synonym
oder https://www.virustotal.com/

Verfasst: 21.02.2012, 13:10
von SeriousBadMan
Die haben alle nichts gefunden, obwohl die ja beide mehrere Dienste abfragen.

Ich habe jetzt laut WebsiteDefender eine possible malicious file:

Code: Alles auswählen

Filename	/000/aaaa/ddd/*****/*****/public_html/****/wp-content/plugins/xcloner-backup/restore/XCloner.php
Description	Generic PHP Shell
Pattern detection	shell_exec($_REQUEST['mysqldump_path']
Kann mir jemand was dazu sagen? XCloner ist eig. ein zieml. praktisches BackUp Plugin... ist nen Fehlalarm, oder?

In dem Fall tu ich das alles mal als Fehlalarm ab und gehe davon aus, der Typ hat seine Malware nicht von meiner Seite eingefangen...

Verfasst: 21.02.2012, 13:50
von Pompom
Das probiert?

Verfasst: 21.02.2012, 13:55
von SeriousBadMan
Ah danke. Also gestern & heute 3 Stunden umsonst aufgeregt & rumgemacht, alles Fehlalarm. Danke euch allen. :)

Verfasst: 22.02.2012, 13:01
von SeriousBadMan
Also entgegen meiner vorigen Aussage, ist das Problem doch existent.

Es gibt Weiterleitungen auf andere Seiten (tw. direkt aus dem Backend lande ich auf irgendwelche Promi- & Bookmarkseiten), jetzt bin ich auch endlich selbst betroffen und kann das nachvollziehen. :D

Ich habe daher zwei Fragen:

1. Ist es technisch überhaupt möglich eine bestehende Wordpress-Installation von einem solchen Problem zu reinigen, oder muss man neu aufsetzen? Falls es möglich ist, würde ich das evtl. einfach an einen Fachmann auslagern.

2. Falls man tatsächlich neu aufsetzen muss (was ich gerne vermeiden würde :-?), wie findet man mehr über das Problem hinaus, z.B. ob es an irgendeinem bestimmten Plugin liegt... ich mein, ich muss ja irgendwie verhindern, dass es nach dem Neu-Aufsetzen wieder genauso passiert.

Verfasst: 22.02.2012, 13:29
von Jolander
1. Einfacher Weg: Alles sichern (Content - Template usw.). dann Seite platt machen, frisch neu installieren, Content wieder rein. Plugins wieder installieren (frisch von Wordpress.org Extend). Bei Google nach "hardening Wordpress" suchen, und umsetzen.
2. Schwieriger Weg:
a) SQL-DB überprüfen, ob dort Schadcode includiert wurde. Wenn nein, GUT! Wenn ja, gucken ob er "löschbar" ist, ohne die DB zu schrotten. Wenn nein - Zurück zu Weg 1. Wenn ja, säubern.
b) Per FTP alle Daten überprüfen. Wenn der Core Code infiziert ist (achte auf die Timestamps und unterschiedliche Größen der Dateien - am besten mit einer saubereren Installation der verwendeten WP-Einheit Datei für Datei vergleichen), frische WP-Installion drüberbügeln.
c) Wenn der Core nicht infiziert ist, Template-Verzeichnisse und Plugins und evlt. Cache Verzeichnisse nach neuen Dateien / geänderten Dateien durchsuchen. Falls Du auf verschlüsselte Dateien stößt (base64 usw.), kannst Du auch nach diesen Footprints in einer lokalen Kopie der Seite suchen - z.b. mit aborange Searcher - macht die Sache etwas schneller. Alles was infiziert ist, löschen. Plugins bzw. Template neu installieren von frischer, uninfizierter Stelle.
d) Nach getaner Arbeit alles ändern, was mit PWs und so weiter zu tun hat. Datenbank, Login, evtl. FTP-Zugang usw.
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de