Malware

[MedizinDomains]

Hallo Community,
vielleicht kann mir jemand gegen Entgelt weiterhelfen, komme mit zwei Spezialisten nicht weiter.

Seit einiger Zeit und kürzlich immer öfter habe ich ein Problem, dass immer mehr Seiten beim ERSTEN Klick aus Google woanders umleiten und zwar nach

z.B. sowas

http:// * riotorio.com/search/?q=verwachsungen

Fast alle Installationen (ca. 160) auf Wordpress basis 3.3.1. , der Server angeblich frei von Viren und Malware. Zwei Spezialisten haben angeblich jeweils 10 Seiten bereinigt, aber es tritt auch da weiter auf, wenn man z.B. 4-6 Stunden den blog nicht aufruft.

Irgend eine phishing oder Malware, die sich eingefangen hat, die so neu ist, dass sie von keinem Scan system erkannt werden kann und sich fortpflanzt.

Es passiert aber auch von Rechnern, die nicht in unserem System sind, also auch andere können es sehen. Es passiert nur aus Google und drei Seiten sind schon aus dem Index geflogen. Der Hoster sagt, es könnte was in der Wordpress installs sein oder .htaccess, er kann mit allen Scansoftware nichts erkennen.

Hat jemand Ideen ?
Oder besser, wir suchen erst jemand, der 160 Seiten 3 mal am Tag aus Google klickt.
Ob es Gegenmassnahmen gibt ?
Angeblich waren es DIE Spezialisten, die Schadcode auch entfernt haben, aber die Seiten sind nach wie vor befallen.
Ich denke, wenn her keine Idee kommt, dann wird man wohl die Seiten alle mit einer neuen Installation von Wordpress auf einem schädlingsfreien Server neu aufsetzen müssen.

Danke und freundliche Grüße

 

[Trixi.com]

...bin kein Spezialist....


Hilft das? hacked - Malware on site - WordPress - Stack Exchange

 

[soundbites]

So etwas ähnliches hatte ich auch mal vor Jahren....

Java hat das Problem verursacht. Jedesmal als ich die Seiten gesäubert hatte (war kryptischer Text in den Dateien) kam es wieder zurück. Bis ich bemerkt hatte, dass es mit dem Upload (von mir auf dem Server) zusammenhängt. D.h. du löscht, beim upload wird aber wieder infiziert. Nimm dir zum Uploaden FileZilla (kein WSFTP - war auch im Team der Übeltäter) - deinstalliere java (alles), lösche mit ccleaner den müll und scan deinen PC auf viren. Insatllier Java - die neueste version (falls benötigt) - ändere die FTP/Passwörter und es sollte laufen - ist eine menge Arbeit.....

 

[Abrufkredit]

Ich denke, es hängt mit dem Ftp Programm zusammen, d.h. du hast einen Trojaner auf deinem PC/server, der sich in das FTP Programm schmuggelt.

Hatte dasselbe Problem. Da ich kein Techniker bin, habe ich einfach einen neuen Computer gekauft, neue Virussoftware draufgemacht und gehe nicht mehr auf die bösen Seiten.:bootyshake:

Aufgefallen ist es mir, da nicht nur eine Seite betroffen war, sondern fast immer alle Seiten, die auf dem gleichen Server lagen.

 

[MedizinDomains]

Danke für die Infos.
wir haben Macs und als FTP den Captain FTP, der seit Jahren gut funktionierte.
Wir waren Jahre bei 1&1 und nie was passiert. Im November zum anderen Hoster gewechselt und prompt ist es nun passiert.
Ist McAffe neuset Version ausreichend ?
Der sagt Malwar und virenfrei,
Michi

 

[MedizinDomains]

und der Malware Scanner von iThemes sagt bei jeder Installation:

Domain clean by Google Safe Browsing: endogyn*de
safebrowsing.clients.google.com/safebrowsing/diagnostic?site=endogyn.de]Google Safe Browsing diagnostic page for endogyn.de

Domain clean by Norton Safe Web: endogyn*de
safeweb.norton.com/report/show?url=endogyn*de]Norton Safe Web, from Symantec - report for endogyn.de

Domain clean on Phish tank: endogyn*de
phishtank.com/]PhishTank]PhishTank]PhishTank]PhishTank | Join the fight against phishing | Join the fight against phishing| Join the fight against phishing | Join the fight against phishing

Domain clean on the Opera browser: endogyn*de
opera.com/]Opera browser | Faster & safer internet | Free download

Domain clean on Sucuri IP/URL malware blacklist: endogyn*de
sucuri.net/sucuri-blacklist]Sucuri Domain / IP Blacklist | Sucuri Security

Der "Spezialist" sagt dazu, dass den Befall KEIN Programm erkennen kann. Er hat wie gesagt 10 blogs von "Schädlingen" befreit, aber es tritt auch bei denen auf. Passwörter und FTP Zugang geändert.

bei sucuri*net haben wir auch 10 blogs "befreien" lassen, aber es tritt trotzdem auf und die befreien die blogs für ein Jahr immer wieder. Nur es nützt nichts, da die Malware weiterhin wütet. Auf dem Router kann es auch nicht sein, da von verschiedenen Leuten auf verschiedenen Rechnern beobachtet.
Wenn man die blogs alle 4-6 Stunden besucht, dann tritt es nicht auf.
Viele Grüße

 

[Ocelot2]

Das liegt aber nicht an Wordpress sondern tritt auch auf ganz anderen Systemen auf. Persönlich habe ich das noch nicht gehabt aber schon oft gesehen auch diverse Forensysteme sind befallen. Wenn die Domains abschmieren dadurch und es wichtige sind sollte man vielleicht nicht zu lange warten sondern einen anderen Server/Hoster in betracht ziehen und dort sauber neu Installieren.

 

[Ocelot2]

Eventuell auch mal den Hoster Kontaktieren bzw. mal den Server auf Installierte Versionen testen. Es kommt nicht selten vor das Hoster Server ins Netz stellen dort ihre Kunden draufballern und dann bis auf abkassieren nicht mehr viel machen. Nicht umsonst gibt es zb. bei Debian fast wöchentlich Updates die Sicherheitslücken schließen, irgendwie muss die Sache ja auf den Server gelangen wenn nicht über den PC dann über einen gehackten Server....

 

[MedizinDomains]

Ja, das haben wir schon gemacht und zwei Systeme auf einen Server bei Hetzner neu aufgesetzt und wollten paar Tage warten, ob die sauber bleiben.

Die alten Server hoster sagt, er kann nichts erkennen bei täglichen Virus scans und der Spezialist sagt, das erkennt kein Scan system...hmm ?

Grüsse

 

[Ocelot2]

Und die .htaccess hast du dir angeschaut auf einem betroffenen System? Da sollte ja wenn nichts von extra Hand eingetragen wurde nur die Zeile der Wordpress Permalinks Einstellung zu sehen sein.....

 

[Ocelot2]

Ja, das haben wir schon gemacht und zwei Systeme auf einen Server bei Hetzner neu aufgesetzt und wollten paar Tage warten, ob die sauber bleiben.

Die alten Server hoster sagt, er kann nichts erkennen bei täglichen Virus scans und der Spezialist sagt, das erkennt kein Scan system...hmm ?

Grüsse

Das ein Hoster täglich auf Viren scannt bezweifel ich doch stark

 

[m.beier]

Einerseits soll der Server virenfrei sein, andererseits haben 2 Spezialisten 10 Seiten bereinigt.
Was ist nun richtig und wovon hat man die 10 Seiten bereinigt?

Wurden Dateien geändert? Z.B. das Dateidatum kann ein Anhaltspunkt sein.

Mich wundert auch, dass nur Zugriffe mit dem Google-Referer umgeleitet werden und diese wiederum nur zum geringen Teil.

Es liest sich irgendwie wie ein Problem, welches nicht serverseitig, sondern eher vom Client ausgeht. Und da gibt es ja auch mehrere Wege, wie z.B. beim Upload durch das FTP-Programm, durch den Browser oder dem OS.

Denkbar wäre auch ein Diebstahl der FTP-Zugangsdaten. Da sollten sich aber Änderungen durch das frische Dateidatum leicht finden lassen.

 

[MedizinDomains]

Die .htaccess sehen normal aus.

Die installierten Tools, wie
WordPress File Monitor Plus
Wordpress Firewall 2
melden nichts

Mich wundert auch, dass nur Zugriffe mit dem Google-Referer umgeleitet werden und diese wiederum nur zum geringen Teil.

Es sind angeblich sog. Adds hacker, die auf wandere Anbiterseiten, meisten Erotik umleiten und nur von Google. Ausserhalb von Google passierte es noch nie.

Einerseits soll der Server virenfrei sein, andererseits haben 2 Spezialisten 10 Seiten bereinigt.
Was ist nun richtig und wovon hat man die 10 Seiten bereinigt?

Der Hoster sagt, die Server sind virenfrei, der Spezialist sagt, diesen schädlichen Code (hat mir alles zugeschickt, erkennt ein Scanner nicht.

Es liest sich irgendwie wie ein Problem, welches nicht serverseitig, sondern eher vom Client ausgeht. Und da gibt es ja auch mehrere Wege, wie z.B. beim Upload durch das FTP-Programm, durch den Browser oder dem OS.

Es tritt auf verschiedenen Systemen auf, PC und Ma und an verschiedenen von einander unabhängigen Stellen, z.B. Wohnung, Büro, Klinik und auch bei Angehörigen oder Freunden in verschiedenen Städten.

Die FTP Daten auch schon mehrfach gewechselt.

Danke

 

[Ocelot2]

Wie gesagt der richtige Weg ist eine Neuinstallation denn die Datei welche die redirects veranlasst kann sich als alles möglich Tarnen selbst eine Endung .jpg oder ähnliches kann man über Linux ausführen da die Endung nicht relevant ist sondern der Inhalt der Datei. Das mit dem alter der Dateien ist eine gute Idee, ich würde mal auf einer Domain wo noch kein "Experte" Hand angelegt hat und du selber sicher bist das du nichts geändert hast das Datum der Dateien checken.

Grundsätzlich kann das ganze natürlich auch über einen gehackten PC laufen aber auch auf der Serverseite gibt es wenn dieser nicht up to Date ist massig Sicherheitslücken die ein Angreifer nutzen kann um zb. Root Zugriff zu erlangen. In Plesk zb. gab es in den Versionen von 8.. bis 10.. einen Bug der Hackern über Mysql ermöglicht vollen Root zugriff zu erlangen, und damit kann dann alles auf dem Server manipuliert werden. Wenn dann noch alle Installationen auf einem Server laufen oder eben viele ist der Spaß am Ende groß....

 

[MedizinDomains]

genau, der Spass ist riesig ! Seit 4 Tagen 24 Stunden und versuchen, was zu retten ca. 160 WP Installationen ...
Danke für die Tips

 

[Abrufkredit]

Gottseidank hatte ich ein fehlerfreies Backup von allen Projekten.
Also einfach alles gelöscht und wieder neu draufgespielt.
Und von dem Backup habe ich jetzt nochmal ein Backup gemacht. :bbiggrin:

Die Arbeit von Jahren in Minuten zerstört.
Das ist der persönliche und berufliche Super-Gau.
Wünsche ich keinem und ist eine Riesensauerei.

 

[enni33]

hallo,
schau mal bitte auf die jeweilige index.html oder.php ob da eine codezeile ist die da nicht hingehört. meist am anfang, mittig oder am ende. hatte änliches mal.

gruß enni

 

[MedizinDomains]

Die Arbeit von Jahren in Minuten zerstört.
Das ist der persönliche und berufliche Super-Gau.
Wünsche ich keinem und ist eine Riesensauerei

Genau, schlimmer als ein Supergau.

Ein Lichtblick, dass ich von etwa der Hälfte der wichtigen Installationen noch Backups vom November bei 1und1 habe, weil einfach zu faul war, die zu löschen, samt DB.
Dann auf Rat von Torsten (Wettermann) alle Domains zu Domainer*de umgezogen sind und so diese nach 1und1 geroutet werden können. Bei 1und1 kostet eine extern Domain ca. 10 Euro einmalig, das macht aber nichts. Leider traue ich Hetzner auch nicht oder zumindest noch nicht und bei 1und1 waren wir 12 Jahre und nichts passiert.
Ciao

 

[m.beier]

Der Hoster sagt, die Server sind virenfrei, der Spezialist sagt, diesen schädlichen Code (hat mir alles zugeschickt, erkennt ein Scanner nicht

In welchen Dateien tritt der Code auf und wie schaut er aus?

 

[enni33]

wenn ich das noch wüsste. hatte änliches bei dd*/24 mal mit allen seiten. mir wurden in die index seiten code eingetragen die dazu führten, das die seiten umgeleitet werden.

gruß enni