Man glaubt es kaum, doch Viren verbreiten sich mittlerweile auch recht gut über WordPress Blogs. Mir kam die Sache mal komisch vor. Neulich auf Arbeit meinte ein Kollege, dass beim Aufrufen meiner Seite eine Virenwarnmeldung kam. Ich hab die Seite nochmals aufgerufen und diesmal war alles paletti. Also hab ich mir nichts dabei gedacht.
Doch dann hat heute morgen Tanja meinen Blog auch mal wieder aufgerufen und siehe da: Sie hat auch Warnmeldungen bekommen. Also hab ich mal meinen Blog aufgeräumt. Vorsichtshalber alle WordPressdateien mit den Originaldateien ersetzt und alle ungenutzten Themes-Dateien gelöscht. Doch die Übeltäter waren dann gar nicht im den WordPressdateien versteckt, sondern direkt als modifizierte Dateien im Themes-Ordner.
Die Dateien hießen "updater.php" und eine "bb.php" und scheinen russischen Ursprungs zu sein, wie man aus manchen Kommentaren im Quellcode folgern kann.
Dazu war im Header noch unten drunter ein paar Zeilen Code, die als WordPress-Counter getarnt waren. Im Original Template waren diese Zeilen aber nie drin. Also alles raus damit, was keine Miete zahlt.
Soweit ich es beurteilen kann, dient bb.php als PHP Kommandozeile um auf dem angegriffenen Server irgendwelche Kommandos ausführen zu können.
Als Konsequenz daraus habe ich nun das FTP-Passwort und das MySQL Passwort durch Zufallszeichen geändert. Normalerweise müssten nun auch alle Virenmeldungen wieder von diesem Blog verschwunden sein. Falls doch noch eine Meldung in Zusammenhang mit diesem Blog passieren, einfach melden.
Wie die Dateien auf den Server gekommen sind, kann ich mir gerade nicht erklären. Vermutlich durch eine offene Lücke von WordPress oder ein Plugin.
Falls ihr mal wieder auf euren Blog schaut könnt ihr ja mal den Themesordner anschauen und nach Dateien suchen, die erst kürzlich geändert wurden und diese Dateien mal genauer anschauen.
Ich hab davon leider noch recht wenig mitbekommen, da die Viren wohl nur auf Windows-Maschinen anschlagen.
Dummerweise lernt man immer erst dann richtig, wenn man selbst ein gebranntes Kind ist!
In diesem Fall mal ein paar Tipps für euch:
1. Nehmt für die MySQL-Datenbank ein Passwort aus Zufallszeichen (das Passwort muss man sich eh nicht merken).
2. Verwendet für den FTP-Zugang ein Passwort mit anderen Zufallszeichen (das Passwort muss man sich auch nicht merken).
3. Nimmt verdächtige Meldungen von Besuchern der Seite ernst und schaut auch ab und mal in den Themesordner ob sich verdächtige Dateien darin befinden.
4. Schaut mal ins Logfile hinein ob verdächtige Einträge vorhanden sind (natürlich nur möglich, wenn ihr ein Logfile aktiviert habt).
Ich hatte das Logfile aus Datenschutzgründen deaktiviert. Jetzt wäre es aber doch mal hilfreich gewesen.
Das Einfallstor könnte auch ein Plugin sein oder das Timthumb-Exploit. Dadurch das es Millionen von WordPress-Blogs gibt, lohnt es sich für Angreifer natürlich die Blogs automatisch abzuklappern und Viren einzubinden, selbst wenn nur ein paar Tausend Angriffe erfolgreich sind ist das schon eine Menge. Daher am besten immer regelmässig Updates und Backups machen.
@Timo: Updates mache ich regelmäßig. Backups... naja. Außer der Datenbank wird eigentlichs nichts regelmäßig gesichert. Alle paar Monate mal oder so!
Na gut, das Timthumb Plugin nutz ich nicht. Vielleicht war aber auch einfach eine andere Lücke im WordPress drin, die man zu spät gefixt hat.
Den Link zu Michaels Beitrag habe ich Dir gerade im anderen Kommentar hinterlassen. Dort ist auch von einem Scanner die Rede, den mal drüber laufen zu lassen ist nie verkehrt.
Diese Hacks/Viren/Trojaner etc. kommen auf den unterschiedlichsten Wegen. Falls es nicht der war, von dem Michael bzw. Timo hier spricht (der kommt entweder über Plugins oder das Theme), bleibt noch ggf. rauszufinden, was das war. Ich hatte am ersten Weihnachtsfeiertag vor 2 Jahren einen, den ich mir auf einem infizierten Blog gefangen hatte. Der hat sich munter auf meiner Platte installiert, dort nach dem FTP Programm gesucht und zog mit den Zugangsdaten von dannen. Innerhalb von Sekunden war der Spuk dabei und dann ging es erst richtig los. Hat sich per FTP eingeloggt und auf alle meine Online Installationen gesetzt, um sich von dort aus munter weiter in die Weltgeschichte zu verteilen.
@Tanja: Ok, dann war die Maßnahme mit den Passwortänderungen gar nicht so verkehrt.
Das Backup habe ich soweit auch mal auf Viren überprüft und nun scheinen wieder alle Dateien sauber zu sein. Datenbank ist schwierig zu überprüfen.
@Tobi: Drück Dir die Däumchen, dass es das damit war. So was ist ärgerlich und immer ein Haufen Arbeit (ich erinnere mich noch mit Grauen daran).
@Tanja: Ich lass es nun einfach mal gut sein und kümmer mich erstmal nicht mehr drum. Ansonsten hör ich beim nächsten Mal eben mal mit dem Bloggen auf.
Das ist echt übel. Ich bin froh das ich bisher noch nichts davon mitbekommen habe.
Es wäre vielleicht mal die Idee dir Zugriffsrechte auf dem Server zu ändern, oder? Natürlich ist es dann vielleicht nicht mehr so leicht neue Plugins zu installieren oder Themes hochzuladen, aber das macht man ja normalerweise nicht jeden Tag, oder?
@CONeal: Die Zugriffsrechte sind eigentlich schon ziemlich beschränkt. 750 oder teilweise 740.
Ich glaub eher, dass es an ner Lücke in nem Plugin oder WordPress lag!
@Tobi: Ja gut, dann ist's natürlich doof.
Vielleicht schau ich auch später mal ob alles gut ist
@CONeal: Irgendwann verbrennt man sich immer die Finger. Aber nur aus Fehlern wird man klug!
Das ist in letzter Zeit echt eine Plage geworden. Gern sind auch die Themes unsicher. Google mal nach timbthumb vulnerability.
Liebe Grüße, Sanne
Tja mich hat es auch erwischt, ich habe allerdings nicht so viel Glück das ich genug von PHP verstehe um es selbst zu beheben. Allerdings kann ich sagen das bei mir auch Artikel direkt betroffen waren und ich habe mir dann die Viren bei einem Back Up auch gleich auf den Rechner gezogen.
Glück im Unglück ist es das mein Blog erst zwei Monate alt ist und der Schaden sich so in Grenzen hielt.
@Chris: Na gut, dann fang einfach nochmal neu an. Das wird schon noch gut werden.
Am besten regelmäßig ein DB Backup ziehen, und die Plugins Updates regelmäßig einspielen dann klappts auch für die Zukunft besser. Aber Alex wird sich mit dir schon in Verbindung setzen.
Viel Glück beim Neustart.
Es ist schon traurig, dass eine frei verfügbare "Software" für solche Zwecke missbraucht wird.
Nichts destotrotz wünsche ich eine frohe Weihnacht 2012!
@Jan-Christoph: Ja, das Leben ist kein Zuckerhut.
Aber so ist das doch mit jeder Software, die eine große Verbreitung hat. Schau doch einfach mal Windows, Java oder andere Software an.
Alles wird momentan noch von Menschen programmiert und diese machen in komplexen Projekten eben immer Fehler. Das liegt eben in der Natur der Sache...
Aber ich glaub aktuell ist mein Blog wieder virenfrei.