Worpress Malware entfernen

Tutorials

Worpress Malware entfernen

Worpress Malware entfernen

Es ist also endlich soweit. Nachdem in letzer Zeit häufiger mal von “Virenproblemen” mit WordPress berichtet wurde, hatte ich neulich das zweifelhafte Vergnügen mich um eine Malware-verseuchte WordPress installation zu kümmern.

Wie der Schadcode in den Blog gekommen ist, ist bis heute ungeklärt geblieben. Ich tippe auf eine Sicherheitslücke in älteren WP-Versionen (Der Betroffene Blog verwendete WordPress 2.33). In diesem Beitrag beschreibe ich, wie man die Malware wieder los wird.

Die Malware tat mehre Dinge:

  • Ein PHP-Script wurde installiert, welches dazu geeignet war, andere Server anzugreifen
  • In jedem Unterverzeichnis der WordPress Installation würde eine index.html angelegt, welche ein iFrame enthielt, welches den Schadcode einband
  • Einige WordPress eigene PHP-Dateien, unter anderem die Themes und einige Plugins wurden modifiziert um das iFrame auch dort unterzubringen.

Das ganze Schauspiel hatte mehrere Folgen:

  • eine Abmahnung des Providers, wegen des Angreifens fremder Server
  • eine Sperrung der betroffenen Website für Benutzer der Google-Toolbar mit einem fetten roten Warnhinweis
  • User ohne Virenschutz wurden mit einer AdWare infiziert, die ständig nicht vorhandene Sicherheitslücken im System meldete und zum Kauf einer Lösung aufforderte. Diese wird von Virenscannern wie Avira interessanterweise nicht gefunden.

Meckern hilft nicht, eine Lösung musste her. Aber wie entfernt man jetzt einen solchen “Virus” aus einer WordPress installation.

Das vorgehen ist simpel:

  • alle Dateien vom Server herunterladen ggf. beim Downloadvorgang Virenscanner deaktivieren
  • alle Dateien die index.html heißen gnadenlos löschen
  • mit einem Tool wie der Windows Suche nach dem vorkommen des wörtchens “iFrame” in allen verbliebenen Dateien suchen.
  • die entsprechenden Zeilen aus den Dateien löschen
  • erst jetzt den Virenscanner aktivieren
  • das Verzeichnis sicherheitshalber nochmal durchscannen
  • Virenfunde nicht Quarantäne verschieben sondern die betreffenden Zeilen mit abgeschaltetem Virenscanner löschen. Falls es sich um nicht zu WordPress gehörende Dateien handelt, einfach löschen.
  • alle Dateien und Verzeichnisse der sich Online befindlichen verseuchten Variante löschen
  • bereinigte Variante hochladen
  • fertig

Wem das zu kompliziert ist, kann sich unter der Mailadresse im Impressum bei mir melden und das ganze kostenpflichtig von mir entfernen lassen.

Diskussion

4 Kommentare zu “Worpress Malware entfernen”

  1. Naja, Malware würde ich das nicht gleich nennen. Denn das würde nahe legen, das man sich dies durch unbedarftes rumklicken, einfangen könnte. Ich würde einfach mal sagen das ding wurde gehackt und fertig. In 2.33 gibt es ja genug Sicherheitslücken um Code einzuschleusen und hat man erstmal den Zugang ist eh alles zu spät. Bis jetzt ist es auch das erste mal, das ich von so etwas höre. Aber WordPress wird eigentlich kontinuierlich gepatcht und dann liegt es am Betreiber sein WordPress zu aktualisieren. Es werden sich solche Dinge nicht wirklich verbreiten, wenn es denn so etwas wie Malware wäre.

    Posted by zer(o_0)ne | Mai 30, 2009, 11:58
  2. Der Begriff “Malware” stimmt insofern, als das die Software durchaus dazu geeignet ist sich selbstständig zu verbreiten. Wie Viren und Trojaner einfach Portscans auf Normalen PC´s durchführen ist es ebenso möglich WordPress-Installationen auf bekannte Schwachstellen abzusuchen. Das tat der betroffene Blog daraufhin. Und er suchte nicht nur nach Schwachstellen in WordPress Installationen, sondern auch in phpBB-Foren. Das Sicherheitsbewusstsein der Leute ist erheblich kleiner als man gemeinhin annehmen sollte. Zumal WordPress immer Häufiger als einfaches Content-Management-System eingesetzt wird. Von Nutzern die sich eben damit nicht auskennen.

    Posted by Jakob Zogalla | Mai 31, 2009, 16:22
  3. Suchte es nur nach Schwachstellen, oder nutzte es diese dann sogleich auch aus um sich zu verbreiten? Und das ein Großteil der Webapplikationen ungepatch’t ist, ist eigentlich weithin bekannt… Es ist eben die übliche Nachlässigkeit der Menschen, läuft erstmal, also ist alles gut, wieso update’n? läuft doch immer noch.

    Posted by zer(o_0)ne | Juni 1, 2009, 20:17
  4. Danke für diese Tipps.Die ganze Seite finde ich echt toll,weiter so!

    Posted by Mikka | Juni 29, 2009, 11:12

Post a comment