Verfasste Forenbeiträge

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)
  • HolgerGr

    (@holgergr)

    Das hier ist doch ein Forum, oder? Und kein Ticketsystem, oder? Ich bin in meinem Originalthread gefragt worden, was ich erwartet habe? Nun, ganz einfach: Dass ich hier auf einen Nutzer treffe, der die gleichen Probleme/Symptome hatte und mir sagen kann, was er getan hat, um das Problem zu lösen. So, wie ich es hier getan habe. Wenn nun der Theradstarter bestätigt, dass das, was ich geschrieben habe, zur Lösung seiner Probleme beigetragen hat, wären wir einen Schritt weiter.

    Ich zum Beispiel erwarte in einem Forum nicht, dass sich Moderatoren bemüßigt fühlen, hier Supportarbeit zu leisten. Denn wie gesagt – das ist kein Ticketsystem, sondern ein Forum.

    Ich betreibe seit 2003 eigene Webserver und befasse mich seit 2013 intensiv mit WordPress. Es soll nicht despektierlich klingen, aber ich brauche niemanden, der irgendetwas für mich erledigt, wie das ja scheinbar aufgefasst wurde.

    Ich hatte den Thread gestartet, um mich mit Nutzern auszutauschen. Das funktioniert meiner Erfahrung nach wesentlich besser, als mit irgendeinem Support, egal ob kostenlos oder kostenpflichtig.

    Andersherum empfinde ich es als despektierlich, wenn mir unterstellt wird, ich habe irgendwelche Sicherheitslücken offen gelassen. Wie gesagt – ich mache das schon eine ganze Zeit. Andererseits stehe ich aber aus Gründen, auf die ich hier nicht eingehen will, ganz besonders unter Beschuss.

    Im Moment interessiert mich, wie die Malware überhaupt meine Sicherheitsbarrieren durchbrechen konnte. Wenn ich das herausgefunden habe, werde ich es hier auch gerne veröffentlichen, damit andere gewarnt sind. D.h. falls die Kommunikation nicht durch Sperren des Threads abgewürgt wird.

    HolgerGr

    (@holgergr)

    Das gleiche (oder ein ähnliches) Problem habe ich gerade gelöst.

    Ich vermute, die Malware im plugin-Verzeichnis ist nicht die einzige; es ist nur die einzige, die Du entdeckt hast.

    Ich bin so vorgegangen:

    Ich habe den Ninjascanner (in der kostenlosen Version) alle Dateien scannen lassen. Er brach aber zunächst immer bei Step 13 ab. Das lag daran, dass auch die wp-admin und wp-includes infiziert waren. Also habe ich unter wp-includes/version.php erst einmal nachgeschaut, welche WP-Version ich gerade installiert hatte, dann habe ich mir die noch einmal frisch heruntergeladen, die infizierten Verzeichnisse umbenannt und dann frisch hochgeladen (nur wp-admin und wp-includes).

    Dann funktionierte der Scan und zeigte mir alle infizierten und zusätzlichen Dateien an. Die zusätzlichen Dateien habe ich gelöscht und die infizierten bereinigt. Das war einfach, denn die Infektion bestand aus einem (gut kommentierten) include-Befehl, der sich ganz oben reingeschrieben hatte.

    Dann noch mal scannen und seitdem habe ich Ruhe. Zuvor war es immer so, dass zu einer bestimmten Uhrzeit alles wieder befallen war. Das lag einfach daran, dass ich bei meinen Säuberungsaktionen nicht alles erwischt hatte.

    Achtung: Schau auch mal nach, ob andere, evtl. Installationen in der Verzeichnisstruktur befallen sind. Bei mir waren es alle Subdomains einer bestimmten Domain, darunter sogar eine MediaWiki-Installation.

    Hoffe, es hilft.

    Thread-Starter HolgerGr

    (@holgergr)

    Hallo,

    ich habe nun die Lösung gefunden und da nur allgemeine Informationen kamen, die nicht wirklich weiter halfen, möchte ich gerne erzählen, wie ich die Plagegeister wieder losgeworden bin.

    Zunächst einmal wurde auf Wordfence verwiesen. Das habe ich installiert und dann bemerkt, dass es in der kostenlosen Version unbrauchbar war. Mit Ninja Scan habe ich dann ein anderes, kostenloses Scantool gefunden, das mir anzeigte, wo die Plagegeister alle saßen. Ich hatte stets einige übersehen und die haben dann wie ein Backdoor funktioniert.

    Zunächst einmal infiziert die Malware (von der ich immer noch nicht weiß, wie sie überhaupt auf den Server gelangt ist) die index.php in allen Verzeichnissen, die sie finden kann, sowie die wp-config.php Sie schreibt dazu den o.a. Code direkt unter das php-Tag.

    Zweitens infiziert sie zahlreiche Dateien in der wp-admin und wp-includes.

    Drittens verändert sie (seltsamerweise) ein paar css-Datein von Plugins indem sie ganze Anweisungsblöcke löscht.

    Vierterns legt sie ein Schein-Plugin an

    Fünftens legt sie ein Schein- Theme an.

    Nachdedm also die Index.php, die config.php etc. gesäubert wurden, habe ich das Schein-Theme und das Schein-Plugin gelöscht. Die css-Dateien hat mir freundlicherweise Ninja Scan repariert.

    Dann wp-admin und wp-includes löschen und saubere Versionen hochladen. Achtung! Vorher unter wp-includes/version.php die aktuell verwendete Version auslesen, sonst gibt’s Probleme.

    Übrigens: Der letzte Schritt sollte der erste sein, falls Ihr mit Ninja Scan arbeiten wollt, denn mit den infizierten Versionen bricht der Scan ab.

    Übrigens führte die Infektion nicht zu einer Blacklistung. Virustotal fand die Seite auch total unauffällig. Über den Browser wurde nichts ausgeliefert und nichts ausspioniert. Es scheint, als sei die Malware eine reine Webmaster/Serveradmin Beschäftigungstherapie.

    • Diese Antwort wurde geändert vor 8 Monaten von HolgerGr.
    • Diese Antwort wurde geändert vor 8 Monaten von HolgerGr.
    Thread-Starter HolgerGr

    (@holgergr)

    Gelöst. Ich hatte die body_class vergessen.

    Thread-Starter HolgerGr

    (@holgergr)

    Hab‘ den Fehler gefunden. Es ist nicht WP selbst bzw. das Update sondern ein Update, das ich danach händisch durchgeführt habe. Das Pugin heißt WordPressSEO von Yoast. Wenn ich das desaktiviere läuft der Upload wieder. Ich hoffe, daß der Hersteller schnell ein bugfix nachschickt.

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)