«

»

Feb 27 2013

[Internet & Co.] Malware auf dem Blog – Erfahrungen und Sorgen

Malware, Viren, Trojaner, Scareware usw. – Begriffe, die man lieber von hinten und aus der Ferne betrachtet anstatt sich selbst damit auseinander zu setzen. Als Webseiten- bzw. Blogbetreiber denkt man meist auch noch: „Viren auf meiner Seite? Sowas passiert mir nicht…hier gibts ja eh nix zu holen!“

 

So oder so ähnlich bin ich selbst auch an dieses heikle Thema herangegangen. Malware etc kenne ich, aber sowas erwischt einen selbst doch eh nicht. Macht schliesslich bei einem kleinen Blog wie meinem auch gar keinen Sinn. Denkste…
Ich möchte dieses Thema nicht totschweigen und gestehe, dass es mich bereits erwischt hat und ich kann aus Erfahrung nun auch sagen: Es kann jedem passieren! Keine noch so kleine und private Webseite ist ausgenommen, es sei denn man ist ausreichend gegen Fremdzugriffe geschützt.

Ich selbst habe mit sowas ehrlich gesagt vorher nie Erfahrungen machen müssen. Der erste Kontakt mit einem Befall auf meinem Blog begann im Dezember 2012. Zu der Zeit hatte ich leider nicht viel Zeit für die „Blog-Pflege“, doch mir fiel an einem Tag ein großer Einbruch der Besucherzahlen auf. Zuerst hatte ich das auf die Weihnachtszeit geschoben doch tags drauf änderte sich ebenso nicht viel. Ich wurde stutzig und schaute genauer nach. Mein Virenscanner schlug wohlgemerkt nicht an. Keine Warnung, kein Alarm – nichts. Mein Mann hatte allerdings gerade erst eine frische Version bei sich installiert und rief meinen Blog auf: „Alert! *blink blink*“

Rootkit gefunden – mein Herz blieb stehen und rutschte mir gleichzeitig in die Hose. Den Scanner geschnappt, installiert und durchlaufen gelassen. Mein PC war sauber, doch er blockierte meinen Blog. Also begann ich mich durch die einzelnen Teile zu wühlen und suchte nach ungewöhnlichem. Ohne viel Ahnung zu haben, fiel mir dennoch ein riesiges Script in meiner Header.txt auf, welches da eindeutig nicht hingehörte. Auch nach längerem googlen erkannte ich, dass die htaccess-Datei infiziert und deutlich größer als sonst war. Ich habe schnell gehandelt und die Datei neu geschrieben, außerdem per Hand das Script entfernt. Ein sauberes Backup aufgespielt und alle vorhandenen Passwörter schnell geändert. Gut – alles clean, ich dachte, dass es damit auch getan sei, denn viel Ahnung habe ich diesbezüglich ja auch leider nicht. Doch dem war leider nicht so…

Die „Begegnung der dritten Art“ kam Anfang Februar wieder. Per facebook-Nachricht wurde ich angeschrieben, dass mein Blog scheinbar infiziert sei. Ich versuchte ruhig zu bleiben, schaute mir die einzelnen Dateien wieder an und entdeckte, dass erneut die htaccess und die header.txt befallen waren. Der schädliche Code mit der Weiterleitung zu einer italienischen Website wurde geschwind entfernt, die htaccess überschrieben und ein erneutes sauberes Backup aufgespielt. Selbstredend habe ich erneut alle Passwörter für FTP, WordPress, Datenbank etc. neu gesetzt. Damit stand auch fest, dass ich mich mehr informieren und vor allem schützen muss!
Malware-Befall, Sicherheitslücken und Selbstschutz

Wer von Malware „erwischt“ wird, sollte schnellstens handeln. Sehr oft gelingt sogenannten Hackern bzw. automatisierten Programmen der Zugriff auf die eigenen Dateien durch Sicherheitslücken im (alten) WordPress selbst oder durch diverse Plugins. Es ist absolut wichtig, alle Dateien bzw. Programme IMMER auf dem neuesten Stand zu halten. Aktualisiert regelmäßig eure Plugins und lasst dies nicht schleifen. Auch solltet ihr keine veraltete WordPress-Version nutzen, sondern stets die aktuellste!

Einen weiteren Schutz bieten diverse Plugins. Empfehlen kann ich hierbei:

  1. AntiVirus für WordPress von Sergej Müller -> klick
  2. AntiSpam Bee von Sergej Müller -> klick (einfach praktisch :blush: )
  3. BulletProof Security -> klick

 

Sicherheitslücken durch veraltete TimThumb-Dateien

Einerseits gibt es den Befall der htaccess und/oder der header.txt, andererseits gibt es auch Vorfälle, bei denen die index.php im /wp-content/ erwischt wird. Bei mir kam das noch nicht vor *auf Holz klopf*, aber solche Zugriffe entstehen meist durch veraltete Timthumb-Dateien. Das WordPress-Plugin „Timthumb Vulnerability Scanner“ überprüft die Timthumb-Dateien eurer WordPress-Installation, weist auf die Aktualität oder Gefährung eventueller veralteter Dateien hin und aktualisiert betroffene Dateien in wenigen Schritten.
Was man tun kann (in Kurzfassung)

  1. den eigenen PC mit Anti-Malware Programmen bzw Virenscannern durchchecken (pers. Empfehlung: Malwarebytes und avast/Kaspersky o.ä.)
  2. den schädlichen Code aus den betroffenen Dateien entfernen
  3. regelmäßige Backups machen bzw. sauberes Backup aufspielen
  4. alle Passwörter ändern und diese möglichst kompliziert halten (FTP, WordPress, Datenbanken etc.)
  5. regelmäßiger Online-Check ob wirklich alles weg ist über http://sitecheck.sucuri.net/scanner/
  6. google Webmaster-Tools überprüfen und schauen, ob Malware gefunden wurde – (falls gelistet) Überprüfung beantragen nach einem Clean
  7. inaktive Plugins LÖSCHEN – nicht bloß deaktivieren
  8. Plugins zum Schutz von wordpress installieren wie z.B. Bulletproof Security, Antivirus für WordPress, Secure WordPress, Exploit Scanner o.ä.
  9. Theme löschen und neu installieren
  10. wenn alles nichts hilft -> WordPress Installation killen und neu aufspielen. Hilfen dazu und wie man den Content „rettet“ findet ihr im Netz

 

Mein Rat:

Ich kann es garnicht oft genug sagen: Haltet eure WordPress Installation und alle Plugins aktuell. Löscht nicht benötigte Programme anstatt sie einfach nur zu deaktivieren. Installiert 1,2 oder auch 3 Plugins zum Virenschutz gegen Fremdzugriffe. Macht regelmäßige Backups, verwendet sichere Passwörter!  Installiert euch einen Virenscanner für den PC um ihn auf Keylogger u.ä. zu überprüfen.

Und für alle Männer: Haltet euch von dubiosen Download-Seiten und P*orn fern. :wink:

Solltet ihr mal betroffen sein, verfallt nicht in Panik, sondern sucht und eliminiert den Schädling. Mit etwas Vorbereitung allerdings und wenigen Handgriffen kann man stundenlange Nacharbeit und einen zusätzlichen Herzkasper vermeiden.

malwarebeitrag

Mögen die Anti-Viren-Programme mit uns sein!

 

Ähnliche Beiträge:

7 Kommentare

Zum Kommentar-Formular springen

  1. Martina

    Yo, ich erinnere mich mit Schrecken, wo es bei mir Ping gemacht hat, als ich grade beim ersten Satz auf deinem Blog zu lesen war und nix mehr ging. Das wra ein Riesenschreck.

    Freue mich total für dich, dass du mit viel Arbeit, alles wieder bereinigt bekommen hast.

    Lieben Gruß,

    Martina

    1. Denise

      Ohja, ohja..der Schrecken saß überall tief. :sad: Ich hoffe sehr, dass ich nun verschont bleibe, denn das hier hat mich einige Jahre meines Lebens gekostet. *seufz*

      LG

  2. Chrissi

    Dake für die Tipps… Vor sowas hab ich echt Angst. Hab mir gerade auch die von dir genannten Plugins installiert.

  3. Chrissi

    Bin vorhin auf das Plugin Wordfence gestoßen. Vielleicht interessiert es dich ja auch. Es scannt den Blog auch nach Problemen ab und das Beste ist, dass man durch das Plugin direkt einzelne veränderte Dateien (bei mir wichen zB zwei Seiten vom originalen WordPress ab) widerherstellen lassen, ohne eigene Backups machen zu müssen. Außerdem kann man einzelne IPs blockieren (hab heute ne Menge Spam Kommentare bekommen, jetzt hab ich die IP blockiert) und noch ein paar weitere Dinge… Vielleicht kannst du’s gebrauchen :)
    Liebe Grüße

    1. Denise

      Huhu Chrissi,

      vielen Dank für den super Tip, ich habe Wordfence direkt mal eingebaut und durchlaufen lassen. Glücklicherweise wurden keine Veränderungen (bis auf die deutsche WordPress-Installation) gefunden. Spam Kommentare würge ich mit Antispam Bee ab, das blockiert die ausländischen Kommis, die eh nur böses Zeug enthalten.

      LG :)

  4. Chrissi

    Die Antispam Bee hab ich ja auch installiert, ich hoffe, sie tut nun, was sie soll und ich hab sie richtig eingestellt. Wenn solche Leute durch die gesperrte IP gar nicht mehr kommen können, ist mir das allerdings noch lieber, da ich bei so viel Spam auch immer Angst vor Hackern habe… Man weiß ja nie. :-D

  5. shadownlight

    das hast du super geschrieben, danke für den hilfreichen post!
    gglg

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Bitte Captcha eingeben * Time limit is exhausted. Please reload the CAPTCHA.