Wordpress Virus

[promo]

Hi, vor kurzem hatte ich in allen JavaScript Dateien, die sich bei mir auf dem Server befanden einen Schadcode drin, der nach außen telefoniert. Diesen konnte ich beseitigen, indem ich ganz einfach die ganzen Dateien durch die Core Dateien ersetzt habe.

Nun stehe ich aber vor dem Blog-System Wordpress und die Quelle, wo dieser Schadecode herkommt, will mir nicht in die Finger fallen.

Hier mal ein Screenshot:

http://img197.imageshack.us/img197/1125/sphp.jpg

Aus dem Frontend habe ich den Schadecode schon komplett entfernen können, da mir hier durch das mitgelieferte Tool von Chrome auch der Quellort angezeigt wurde. Im Backend wird er jedoch als undefiniert angezeigt.

Hatte jemand von euch schon mal das Problem?

Würde mich freuen, wenn jemand einen Rat wüsste.

 

[BlogPosts]

Hast du mal die Plugins, Themes die du benutzt durchgeschaut?

Und vor allem wenn du welche benutzt, woher hast du die bekommen?

 

[Hardwarejoe]

Schau mal die .js Files genau durch.

 

[Ronny84]

Ich weiß jetzt nicht genau wie du dein Problem lösen kannst.

Ich kann dir aber für solche Fälle das Plugin von Sergej Müller empfehlen.
Auf diesem Blog wird es genauer beschrieben: http://playground.ebiene.de/antivirus-wordpress-plugin/

Solltest vielleicht mal über eine Installation nachdenken.

 

[Webfirst]

Gibt es denn für Wordpress aktuell überhaupt Exploits die Sicherheitslücken ausnutzen? Ich habe bisher nur von Würmern gehört die auf Grund von zu schwachen Passwörtern eingedrungen sind.

Solltest du also nicht über irgendwelche miesen Plugins oder Themes den Exploits die Tore geöfnet haben: Wie steht es um die Sicherheit deiner Passwörter?

 

[BlogPosts]

Es gab einen ziemlich heftigen 0day für Wordpress bzw. fast alle Premium Themes über die timthump.php

Die wird dazu benutzt Image Dateien automatisch anzupassen und hatte eine große Sicherheitslücke.

Sollte es sich bei der Webseite nicht um ein großes Projekt mit hohen täglichen Besucherzahlen handeln, kann man ein Angriff auf die "schwachen" Passwörter ausschließen.
Dafür gibt es jedoch genug Plugins die die versuchten Logins checken, dem kann man relativ einfach vorbeugen.

Die größte Sicherheitslücke bei Wordpress ist und bleiben die Plugins/Themes, denn sobald in dem Plugin/Theme auch nur ein paar Zeilen php Code versteckt sind, kann man so gut wie die ganze Webseite steuern und bearbeiten.

Am häuftigsten wird dazu javascript verwendet, um Malware Exploits, Likejacking oder Backlinks unscheinbar in den Blog einzubauen. Der ganze Traffic der auf den Blog kommt, kann zb. auch ohne Probleme mit wenig Zeilen javascript Code auf eine x-beliebige Seite weitergeleitet werden.

Check einfach mal alle .php Dateien im Wordpress Editor und den Code der Plugins und schau ob dir was unnatürliches auffällt.

QUOTE Gibt es denn für Wordpress aktuell überhaupt Exploits die Sicherheitslücken ausnutzen? Ich habe bisher nur von Würmern gehört die auf Grund von zu schwachen Passwörtern eingedrungen sind.

 

[promo]

Hab alle Themes noch mal gelöscht und neu hochgeladen, alle JavaScript Dateien noch mal ersetzt.

Plugins benutze ich:

All in one Favicon
MiniMeta Widget
NextGEN Gallery
Spam Free Wordpress
W3 Total Cache
Widget Changer
WP-Piwik
AntiVirus

Alle über das Repository von Wordpress geladen. Bis auf das WP-Piwik. Das ist von wordpress.org. Piwik habe ich ebenfalls komplett in den Coredateien ersetzt.
Wie heißt denn ein solches Plugin? Das wäre ebenfalls eine gute Anlaufstelle, die ich schon mal in Angriff nehmen könnte. Meine Passwörter waren eigentlich ziemlich sicher, da ich Groß und Kleinschreibung, Zahlen inkl. Zeichen benutze.

Gruß,
Denis

 

[Marcs]

Eine Möglichkeit wäre, dass dein Server noch PHP 5.3.9 installiert hat.. aber es gibt auch einfachere Lücken denke ich ;-)..Heise für Centos gibt es seit heute 5.3.10.. durfte gerade alle Server neu kompilieren

 

[promo]

QUOTE (Marc Schuler @ Di 7.02.2012, 11:20) Eine Möglichkeit wäre, dass dein Server noch PHP 5.3.9 installiert hat.. aber es gibt auch einfachere Lücken denke ich ;-)..Heise für Centos gibt es seit heute 5.3.10.. durfte gerade alle Server neu kompilieren

Interessant! Die momentan installierte Version ist PHP 5.3.5. Der Virus war zuerst auf in anderen Systemen wie Contao. Hier bin ich aber ein bisschen mehr bewandert und nur die JavaScript Dateien waren infiziert. Hier konnte ich durch ein einfaches Update alles entfernen.

In welchem Zusammenhang kann es mit der PHP Version zu tun haben?

Viele Grüße,
Denis

 

[Sascha Ahlers]

Na ja, jede Version hat ihre eigenen Tücken.
Die 5.3.9 hat einen weil Sie bei Workaround des POST-Hashings eine Lücke mit eingerissen haben. Ich verstehe so wie so nicht, wieso nicht das eigentliche Problem angegangen wird, und stattdessen eine Limitierung eingebaut wird.

Du kannst aber auch ausprobieren, ob ggf. image.php.jpg sich als PHP ausführen lässt auf den Server. Es gibt halt mehrere Möglichkeiten woran es liegen könnte, daher muss man immer alles betrachten, auch spielt es eine Rolle, ob die alten PHP-Pakete trotzdem gefixed werden, wie es bei Debian bspw. der Fall ist.