Trojaner an Bord

JS:Redirector-MR in functions.php eingenistet

Es ist beileibe nicht so, das ich (völlig) ungeschützt im Internet umherkreise. Dafür bin ich viel zu bequem und irgendwo auch zu Sicherheitsbewusst, als das ich mir hinterher den Ärger, der mit dem Bereinigen meines Computer und mit möglicherweise geklauten Passwörtern anfiele, aufhalsen möchte.

Allerdings fällt mir jetzt gerade auf, das ich nach einer Neuinstallation des Systems vor etwas mehr als einer Woche Zone-Alarm noch nicht wieder installiert hatte. Es lief nur Avira Free Anti-Virus.

Aber heute abend musste ich lernen das auch diese Kombination mich nicht davor schützt, mir ungebetene Besucher über den Code in meinen WordPress-Dateien an Land zu ziehen.

Denn kaum hatte ich meinen Beitrag zur Blog-Parade von Robert Basic on Air geschickt, hatte ich auch schon eine Mail von ihm im Postfach liegen. Und die war alles andere als positiv. Berichtete er mir doch, das der Skript-Schutz seines Programms avast bei mir auf der Webseite einen Trojaner namens JS:Redirector-MR melden würde.

Wohl Verständlicherweise war ich völlig geplättet von dieser Nachricht! Ein Trojaner? Auf meinem Blog?

Wie der hierhin gekommen sein mag, kann ich mir beim besten Willen nicht erklären.

Also versuchte ich mich schlau zu machen, was mir aber nicht so wirklich gelang. Doch auch hier war Robert behilflich und verwies mich auf ein / das Forum von avast. Leider waren die Abschnitte, die mich interessiert hätten, natürlich ohne Registrierung nicht zugänglich: Die Bilder mit den dort angesprochenen Code-Schnippseln.

Gut! Also registriert, angemeldet, Code angeschaut und im Quelletext meines Blogs nachgeschaut! Und natürlich wurde ich fündig.

So wie ich das sehe, handelt es sich um folgende Code-Zeilen, die sich wohl in die functions.php einnisten. Zumindest war es bei mir diese Datei. Und der Code schaut wie folgt aus:

Diesen Code fügte der Trojaner in den Blog ein

Ich habe mir mit der Zeit angewöhnt, nicht nur auf die Backups, die der Hoster macht und zur Verfügung stellt, zu vertrauen und im Zweifelsfall darauf zu bauen. Sondern ich lade regelmäßig alle Dateien des Blogs herunter und sichere sie lokal. Vor allem natürlich dann, wenn ich vorhabe am Blog bzw. dessen Code zu basteln. In diesem Fall hatte ich mir zum Glück alle Backups seit dem 1. November vor der kompletten Neuinstallation des Systems gesichert.

So konnte ich nachvollziehen, das sich der Code spätestens seit dem 20. November im Blog befunden hat. Nur wie der dort hineingekommen ist, ist mir momentan noch ein Rätsel. Aber ich habe inzwischen auch den Hoster all-inkl.com informiert und ihn den Codeschnippsel per Anhang zugesandt.

Zwar hat deren Support auch keine Lösung, bzw. kann sagen wo das herkommt. Aber von meinem Pech können andere jetzt profitieren, da sie es in ihren ‘KnowHows’ hinterlegt haben wie man mir gerade schrieb! Mich hat dieser Umstand des Trojanerfundes aber nochmal dazu gebracht, die Rechte der Dateien und Ordner zu überprüfen, die ich per FTP gesetzt habe!

Ich hoffe, das sich das Teil so schnell nicht wieder hier einnistet und niemandem ein wirklicher Schaden entstanden ist.

Aber vorsichtshalber lasse ich die Software avast! Antivirus jetzt auf meinem System weiterlaufen. Denn so ein Skript-Schutz kann doch schon was sehr nützliches sein. Vor allem, wenn er dann noch in einer kostenlos erhältlichen Software verfügbar ist!

Update: Ich habe natürlich auch bei meinem Hoster nachgefragt, ob Sie in den letzten 4 Wochen irgendwas verdächtiges festgestellt hätten und wie ich möglicherweise aufgrund der FTP-Logs nachvollziehen kann, ob da irgendwo was bei den Logins faul ist! Ersteres konnte all-inkl.com verneinen.

Zur zweiten Frage wurde mir geantwortet, ich solle die dort gespeicherten IP-Adressen mit denen abgleichen, die ich in den letzten Wochen gehabt hätte.

Das ist natürlich eine Sache für sich. Wer geht schließlich hin, fragt seine IP-Adresse ab und notiert sie sich dann auch noch? Die wenigsten vermutlich.

Und so bin ich auf der Suche nach der Möglichkeit, wie ich dies bewerkstelligen kann unter anderem darauf aufmerksam geworden, das auf der Webseite von ‘wieistmeineip.de’ die Möglichkeit besteht, sich ein Profil zuzulegen das sich die IP-Adressen merkt mit denen man im Internet unterwegs ist.

Das kann – wie ich denke – nicht nur in Fällen wie diesen nützlich sein, in denen man abgleichen möchte ob fremde IP-Adressen versucht haben sich irgendwo einzuloggen, sondern auch in Angelegenheiten wo andere behaupten man wäre mit seiner IP irgendwo eingeloggt gewesen!

Über Marcus (620 Artikel)
Ich freue mich über Deinen Besuch auf meinem Blog! Wenn Dir der Artikel gefallen hat, teile ihn doch mit anderen und hinterlasse Deine Meinung.

2 Kommentare zu Trojaner an Bord

  1. Wenn Du vermutest, dass sich jemand unberechtigt Zugriff zu Deinem Admin Bereich verschafft hat, kann ich Dir nur folgendes empfehlen:
    - Username “admin” in der Datenbank direkt (Users Tabelle) mit einem anderen Namen überschreiben
    - ThreeWP LoginTracker Plugin installieren, welche alle Logins mitschreibt
    - Mit dem Plugin Limit Login Attempts die mögliche Anzahl der fehlerhaften Loginversuche begrenzen

    Das alles greift zwar nicht rückwärts, aber immerhin kannst Du so für die Zukunft unberechtigte Zugriffe vermeiden, bzw. ihnen auf die Spur kommen.

    • Hallo Tanja!

      Der User ‘Admin’ existiert nicht in der DB, den habe ich umgeändert. Allerdings dabei vergessen, das gleiche mit der ID zu machen.

      Das werde ich umgehend nachholen.

      Und danke für die Plugin Tipps. Limit Login Attempt kenne ich auch schon. Aber irgendwie gabs da bei mir – wenn ich mich recht entsinne – Probleme

      UPDATE: Das ThreeWP LoginTracker-Plugin wird nicht mehr gepflegt, und wurde daher vor genau einem Jahr zuletzt aktualisiert. Abgelöst wurde es vom Plugin ThreeWP LoginTracker, welches – so wie ich das verstehe – so ziemlich alle Möglichkeiten loggt, die es auf einem Blog geben kann.

      Für das einfache kontrollieren, ob sich jemand unbefugtes erfolglos versucht einzuloggen, vielleicht schon wieder zu umfangreich. Aber wenn jemand erfolgreich den Blog geentert hat wohl doch schon eher das richtige Mittel.

1 Trackbacks & Pingbacks

  1. Änderungen auf dem Blog » themenfreund - der tägliche Wahnwitz

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.

*



CommentLuv - verlinke einen deiner Blog-Artikel
This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg