Wordpress-Ärger - Wie Infektion finden

Beitrag von **SeriousBadMan** » 20.02.2012, 12:08

Hallo,

wie ich herausgefunden habe, habe ich offenbar eine Wordpress-Infektion, wenigstens hat mir jemand mitgeteilt, dass eine US-Seite die betreibe bei ihm Malware heruntergeladen hat und er den Computer neu-aufsetzen musste, um es loszuwerden. Ich selbst bekomme absolut gar nichts, mein Anti-Virus-Programm (ESET NOD32 Antivirus) verhält sich absolut ruhig.

Laut https://www.avgthreatlabs.com/sitereports/ gibt es einen a) Link to exploit site und b) ein Blackhole exploit kit. Genauere Infos gibt AVG leider nicht aus.

Einige andere Website-Scanner im Netz (z.B. https://sitecheck.sucuri.net/scanner/) finden nichts.

Frage: Was soll ich jetzt machen? Gibt es irgendeinen wirklich zuverlässigen Scanner der auch ein paar Details zu dem Schadprogramm gibt? Und was mach ich jetzt gegen das Problem? Ich benutze Wordpress eher selten und hatte daher noch nie so ein Problem.

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **Malte Landwehr** » 20.02.2012, 12:35

Es gibt diverse Security Scan Plugins für Wordpress. Die kannst du installieren und die checken dann deine Installation nach bekannten Wordpress-Angriffen. Welches dieser Plugins am besten ist kann ich dir aber auch nicht sagen.

Beitrag von **Unique Contents** » 20.02.2012, 12:55

Versuch es mal mit https://www.urlvoid.com/

von **Anzeige von ABAKUS** »

Beitrag von **Synonym** » 20.02.2012, 14:02

oder https://www.virustotal.com/

Beitrag von **SeriousBadMan** » 21.02.2012, 13:10

Die haben alle nichts gefunden, obwohl die ja beide mehrere Dienste abfragen.

Ich habe jetzt laut WebsiteDefender eine possible malicious file:

Code: Alles auswählen

Filename	/000/aaaa/ddd/*****/*****/public_html/****/wp-content/plugins/xcloner-backup/restore/XCloner.php
Description	Generic PHP Shell
Pattern detection	shell_exec&#40;$_REQUEST&#91;'mysqldump_path'&#93;

Kann mir jemand was dazu sagen? XCloner ist eig. ein zieml. praktisches BackUp Plugin... ist nen Fehlalarm, oder?

In dem Fall tu ich das alles mal als Fehlalarm ab und gehe davon aus, der Typ hat seine Malware nicht von meiner Seite eingefangen...

Beitrag von **Pompom** » 21.02.2012, 13:50

Das probiert?

Beitrag von **SeriousBadMan** » 21.02.2012, 13:55

Ah danke. Also gestern & heute 3 Stunden umsonst aufgeregt & rumgemacht, alles Fehlalarm. Danke euch allen.

Beitrag von **SeriousBadMan** » 22.02.2012, 13:01

Also entgegen meiner vorigen Aussage, ist das Problem doch existent.

Es gibt Weiterleitungen auf andere Seiten (tw. direkt aus dem Backend lande ich auf irgendwelche Promi- & Bookmarkseiten), jetzt bin ich auch endlich selbst betroffen und kann das nachvollziehen.

Ich habe daher zwei Fragen:

1. Ist es technisch überhaupt möglich eine bestehende Wordpress-Installation von einem solchen Problem zu reinigen, oder muss man neu aufsetzen? Falls es möglich ist, würde ich das evtl. einfach an einen Fachmann auslagern.

2. Falls man tatsächlich neu aufsetzen muss (was ich gerne vermeiden würde

), wie findet man mehr über das Problem hinaus, z.B. ob es an irgendeinem bestimmten Plugin liegt... ich mein, ich muss ja irgendwie verhindern, dass es nach dem Neu-Aufsetzen wieder genauso passiert.

Beitrag von **Jolander** » 22.02.2012, 13:29

1. Einfacher Weg: Alles sichern (Content - Template usw.). dann Seite platt machen, frisch neu installieren, Content wieder rein. Plugins wieder installieren (frisch von Wordpress.org Extend). Bei Google nach "hardening Wordpress" suchen, und umsetzen.
2. Schwieriger Weg:
a) SQL-DB überprüfen, ob dort Schadcode includiert wurde. Wenn nein, GUT! Wenn ja, gucken ob er "löschbar" ist, ohne die DB zu schrotten. Wenn nein - Zurück zu Weg 1. Wenn ja, säubern.
b) Per FTP alle Daten überprüfen. Wenn der Core Code infiziert ist (achte auf die Timestamps und unterschiedliche Größen der Dateien - am besten mit einer saubereren Installation der verwendeten WP-Einheit Datei für Datei vergleichen), frische WP-Installion drüberbügeln.
c) Wenn der Core nicht infiziert ist, Template-Verzeichnisse und Plugins und evlt. Cache Verzeichnisse nach neuen Dateien / geänderten Dateien durchsuchen. Falls Du auf verschlüsselte Dateien stößt (base64 usw.), kannst Du auch nach diesen Footprints in einer lokalen Kopie der Seite suchen - z.b. mit aborange Searcher - macht die Sache etwas schneller. Alles was infiziert ist, löschen. Plugins bzw. Template neu installieren von frischer, uninfizierter Stelle.
d) Nach getaner Arbeit alles ändern, was mit PWs und so weiter zu tun hat. Datenbank, Login, evtl. FTP-Zugang usw.