Viren im WordPress Blog

Man glaubt es kaum, doch Viren verbreiten sich mittlerweile auch recht gut über WordPress Blogs. Mir kam die Sache mal komisch vor. Neulich auf Arbeit meinte ein Kollege, dass beim Aufrufen meiner Seite eine Virenwarnmeldung kam. Ich hab die Seite nochmals aufgerufen und diesmal war alles paletti. Also hab ich mir nichts dabei gedacht.

Doch dann hat heute morgen Tanja meinen Blog auch mal wieder aufgerufen und siehe da: Sie hat auch Warnmeldungen bekommen. Also hab ich mal meinen Blog aufgeräumt. Vorsichtshalber alle WordPressdateien mit den Originaldateien ersetzt und alle ungenutzten Themes-Dateien gelöscht. Doch die Übeltäter waren dann gar nicht im den WordPressdateien versteckt, sondern direkt als modifizierte Dateien im Themes-Ordner.

Die Dateien hießen „updater.php“ und eine „bb.php“ und scheinen russischen Ursprungs zu sein, wie man aus manchen Kommentaren im Quellcode folgern kann.
Dazu war im Header noch unten drunter ein paar Zeilen Code, die als WordPress-Counter getarnt waren. Im Original Template waren diese Zeilen aber nie drin. Also alles raus damit, was keine Miete zahlt.

Soweit ich es beurteilen kann, dient bb.php als PHP Kommandozeile um auf dem angegriffenen Server irgendwelche Kommandos ausführen zu können.

Als Konsequenz daraus habe ich nun das FTP-Passwort und das MySQL Passwort durch Zufallszeichen geändert. Normalerweise müssten nun auch alle Virenmeldungen wieder von diesem Blog verschwunden sein. Falls doch noch eine Meldung in Zusammenhang mit diesem Blog passieren, einfach melden.
Wie die Dateien auf den Server gekommen sind, kann ich mir gerade nicht erklären. Vermutlich durch eine offene Lücke von WordPress oder ein Plugin.
Falls ihr mal wieder auf euren Blog schaut könnt ihr ja mal den Themesordner anschauen und nach Dateien suchen, die erst kürzlich geändert wurden und diese Dateien mal genauer anschauen.
Ich hab davon leider noch recht wenig mitbekommen, da die Viren wohl nur auf Windows-Maschinen anschlagen.

Dummerweise lernt man immer erst dann richtig, wenn man selbst ein gebranntes Kind ist!
In diesem Fall mal ein paar Tipps für euch:
1. Nehmt für die MySQL-Datenbank ein Passwort aus Zufallszeichen (das Passwort muss man sich eh nicht merken).
2. Verwendet für den FTP-Zugang ein Passwort mit anderen Zufallszeichen (das Passwort muss man sich auch nicht merken).
3. Nimmt verdächtige Meldungen von Besuchern der Seite ernst und schaut auch ab und mal in den Themesordner ob sich verdächtige Dateien darin befinden.
4. Schaut mal ins Logfile hinein ob verdächtige Einträge vorhanden sind (natürlich nur möglich, wenn ihr ein Logfile aktiviert habt).
Ich hatte das Logfile aus Datenschutzgründen deaktiviert. Jetzt wäre es aber doch mal hilfreich gewesen.

Die Kehrseite des Admin Daseins

An und für sich hat es was für sich, wenn man ein Admin ist. Man darf laufend neue Computer aufsetzen und hat an manchen Tagen kaum was zu tun. Wenn man die Benutzerbetreuung dann auch noch abgeben könnte, wäre die Sache geritzt. Ich würde mir dann spannende Projekte holen und kann mich in aller Ruhe darauf konzentrieren und muss nicht viele Sachen gleichzeitig machen. #B.A.f.H. lässt grüßen.
Doch die Sache hat natürlich auch ein paar kleine aber feine Schattenseiten. Man trägt die Verantwortung für die Lauffähigkeit des Systems. Das kann ganz schön nervend sein, wenn man plötzlich einen virenverseuchten Datenserver hat.
Man versucht dann alles mögliche und versucht ein paar CDs von der CT‘ aus. Dummerweise dass diese alle ein paar Monate alt sind und man dafür Internet braucht. Es gab natürlich auch ein Offline Updateverfahren, doch der USB-Stick wurde nicht erkannt. Na gut, dann haben wir eben mal Rescue CDs von Avira und Kaspersky drüber laufen lassen. Es wurden über 2.600 verseuchte Dateien gefunden, welche anscheinend auch repariert bzw. in Quarantäne gesteckt wurden. Beim anschließenden Booten war der Virus aber immer noch da, doch mit ein paar Versuchen ließ sich dann wenigstens ein Virenscanner installieren. Auch dieser hat wieder einige verseuchte Dateien gefunden. Danach dachten wir: Alles ist gut. Doch das Ende vom Lied war. Es geht nichts über den Server neu aufsetzen.
Gut, das haben wir dann auch gemacht. Zuerst wollten wir aber den Testserver (ähnlich aufgebaut wie der Original-Server) zum Laufen bringen, aber beim Rücksichern der Daten war dieser Server leider auch infiziert. Nun hatten wir also zwei kaputte Server und so haben wir uns eben doch entschieden alles neu aufzusetzen. Eine Bandsicherung mit den wichtigsten Daten hatten wir zum Glück. Also gesagt getan. Doch leider bekam ich nicht wirklich raus ob man das Band nach einer Neuinstallation auch noch lesen kann.
Nach ein paar aufregenden Stunden und viel Manpower (zwei Kollegen haben mir übrigens die ganze Zeit über geholfen. Danke nochmals dafür!) liefen der Server und die Warenwirtschaft wieder. Nun mussten die (geprüften und virenfreien) Clients wieder an die Domäne angebunden werden. Das war leider wieder ein kleiner Knackpunkt, der auch nochmal viel Zeitpunkt gekostet hat.
Nun lief die Firma heute wieder einwandfrei und auch die Clients wurden wieder grob so eingerichtet, dass auch die E-Mails funktionieren.
Doch die ganzen anderen Dokumente und Bilder und andere Daten liegen noch auf dem Band. Da ich leider davon ausgehen muss, dass auch diese verseucht sein könnte muss man nun schrittweise zurücksichern: Virenscanner und dann gehts los. :)
Wollen wir nun hoffen, dass morgen alles klappt und die anderen verseuchten Rechner (die ich bis montag wieder neu aufsetzen darf / sollte) wieder vernünftig laufen.

Und nun sag ich erstmal gute Nacht. Die kurzen Nächte (einmal 4 Stunden und gestern halt auch wieder nur 6 Stunden) zehren an den Kräften.

Doch wir haben daraus viel gelernt und das wird in Kürze auch wieder umgesetzt.

Quelle des Bildes