Malware im WordPress Blog – und nun ?

Malware und Viren im Wordpress Blog

Im Februar 2012 hatte es mich bzw. Onlinelupe.de und ein paar weitere meiner Website schon einmal erwischt. Mit dem Aufrufen der Websites erschien plötzlich die (dezente) Malware-Warnung. Keine fünf Minuten später erreichten mich auch schon die ersten Tweets, Facebook- und Skype-Nachrichten: „Hey, wenn ich auf Deinen Blog möchte, dann bekomme ich eine Malware-Meldung..“. Da ich mich nicht unbedingt als Code-und Malware-Spezialistin beschreiben würde, saß der Schreck erst einmal tief. Wo sollte ich nun nachsehen? Was tun?

Als erstes warf ich einen Blick auf den FTP-Server und versuchte mir erst einmal einen Überblick der Dateien zu machen, die üblicherweise in einer WordPress-Installation auftauchten. Recht schnell fiel mir jedoch auf, dass die htaccess viel größer war, als sie sonst immer war. Üblicherweise ist die bei mir immer 236 KB groß. Nun hatte sie eine Größe von ca. 2.300 KB. Also, htaccess heruntergeladen, angesehen und schon war der „Übeltäter“ auch gefunden.

Malware und Viren im WordPress BlogDie infizierte htaccess beinhaltete nun zusätzliche Code-Zeilen. Darunter auch einen Redirect zu einer russischen Website. Die Hoffnung, dass es mit dem Einspielen der htaccess aus einer Sicherung des Vortages getan war, verglühte jedoch leider recht schnell. Grund: die infizierte htacces stellte sich alle 15 Minuten wieder her.

Die Recherche nach Ursache und Behebung des Problem auf deutschen und englischsprachigen Seiten half leider auch nicht sehr viel und da ich weder die Zeit, noch das Wissen hatte, die Ursache in Detailarbeit zu suchen, entschied ich mich kurzerhand, die aktuellen WordPress-Versionen durch die Sicherungen des letzten Tages zu ersetzen. Das klingt erst einmal recht einfach, nimmt aber bei mehreren Seiten doch einige Zeit in Anspruch. Update: natürlich sollte man zusätzlich die Passwörter des FTP, der WordPress-Benutzer und der Datenbank ändern!

Malware und die Google Webmaster Tools

Gesagt, getan, die Sicherungen „drüber gebügelt“, lief soweit erst einmal alles wieder, ohne dass man auf eine russische Seite weitergeleitet wurde oder sich die infizierte htaccess wiederherstellte. Nun war es an der Zeit Google darüber zu informieren, dass der schädliche Code von den Seiten entfernt wurde. Das macht man über die Google Webmaster Tools.

Dort eingeloggt, springt einem die Malware-Meldung für die betroffene(n) Website(s) direkt ins Auge. Über die Option „Malware entfernen“ kann man schließlich eine erneute Prüfung der Website(s) beantragen. Ich bin mir nicht sicher, wovon die Dauer der Überprüfung abhängig ist. Bei einigen Seiten dauerte das nur wenige Minuten, andere wiederum wurden erst nach einigen Stunden überprüft.

Bestätigt auch Google, dass der schädliche Code entfernt wurde, erscheint schließlich auch keine rot hinterlegte Malware-Meldung mehr, sobald die Website aufgerufen wird.

Malware, die Zweite im April

Malware im WordPress BlogNach dem Theater im Februar und dauerhafter Performance-Probleme beschloss ich unter anderem, mal umgehend den Hoster zu wechseln – Alles etwas sicherer, besser, schneller zu machen. Nun muss ich gestehen, dass die Thematik mit schwindendem „Leidensdruck“ zwar noch auf meiner To-Do-Liste stand, aber an Priorität verlor ;-):

Gestern dann der nächste Schreck. Wieder erhielt ich zuerst auf einer anderen meiner Websites und schließlich auch auf Onlinelupe.de die altbekannte Malware-Warnung. Ich hatte zwar nach dem Angriff im Februar versucht, mich unter anderem mit wpAntivirus, LoginLockdown & Co. etwas besser zu schützen. Das hilft jedoch alles nichts gegen Sicherheitslücken in veralteten timthumb-Files.

Sicherheitslücke veraltete Timthumb-Dateien

Diesmal hatte es die index.php unter /wp-content/ erwischt. Auch die war nicht, wie üblich, nur 30 KB groß, sondern war direkt auf 180KB angewachsen. Ein Indikator, dass da etwas nicht stimmen kann. Also wieder Datei heruntergeladen und angesehen.

Üblicherweise steht in dieser index.php folgendes:

<?php
// Silence is golden.
?>

In der infizierten Datei jedoch, befand sich ein iframe mit einer Weiterleitung zu einer unseriösen (schädlichen) Website.

In diesem Zuge auch ein großes Danke an Dennis Farin, der mir gestern diesbezüglich via Facebook helfen konnte und mir einige hilfreiche Tipps gab!  

Auch hier half es leider wieder nichts, die index.php mit einer Datei aus der Sicherung zu überspielen. Also musste ich wieder einmal die kompletten Backups über die aktuelle Installation ziehen.

Wie kann man sich zukünftig schützen?

Da sich Malware dieser Art häufig über veraltete Timthumb-Dateien einnistet, riet mir Dennis gestern zu einem WordPress Plugin names „TimThumb Vulnerability Scan„. Dieses Plugin überprüft die Timthumb-Dateien der WordPress-Installation auf Aktualität bzw. Gefährung und aktualisiert diese mit wenigen Klicks.

Nach dem Aufspielen der WordPress-Backups und der Installation des Plugins lief Onlinelupe.de schließlich wieder und die Überprüfung in den Google Webmaster Tools verlief glücklicherweise auch positiv.

TimThumb aktuell halten

Neben dem TimThumb Vulnerability Scan-Plugin recherchierte ich letzte Nacht dann doch noch nach ein paar anderen Plugins, die bei der frühzeitigen Erkennung von Sicherheitslücken in WordPress bzw. Malware hilfreich sein könnten, da wpAntivirus im gestrigen Fall leider nicht „angeschlug“.

Anti-Malware Plugins für WordPress

Dabei stieß ich unter anderem auf die Plugins wpMal-Watch und Get Off Malicious Scripts (Anti-Malware). Diese beiden werde ich zumindest für die nächste Zeit im Blog laufen lassen und testen. Wenn jemand einen besseren Tipp hat, freue ich mich über Feedback in den Kommentaren!

Serverdaten- und Datenbank-Backups

Backup WordPress BlogGenerell ist es natürlich überaus wichtig, in solch einem oder einem ähnlichen Fall über halbwegs aktuelle Backups zu verfügen. Dazu lasse ich täglich automatisierte Backups der Daten auf dem Server und Backups der Datenbanken erstellen. Ich will mir gar nicht ausmalen, was ich ohne diese Backups getan hätte.

Die Backups der Server-Daten laufen in der Regeln direkt über den Hoster und sind dort auch konfigurierbar. Für das Backup der Datenbank(en) findet man einige gute DB Backup Plugins bei wordpress.org. Die Auswahl des Plugins hängt auch ein wenig davon ab, wo genau man die Backup-Daten sichern möchten. Manche Plugins sichern diese direkt auf dem Server, andere arbeiten mit Dropbox & Co..

Und nun noch ein neuer Hoster…

Diesen Blog und ein paar weitere Websites habe ich vor 2 Jahren bei 1blu hosten lassen. Damals war mir noch nicht wirklich klar, welche „Formen“ das hier annehmen würde. Auch wenn ich die Malware-Angriffe schlecht meinem Hoster in die Schuhe schieben kann und will, bin  ich Support und Performance nun wirklich leid.

Da ich ein paar andere Seiten über HostEurope laufen lasse und dort sehr zufrieden bin, wird es wahrscheinlich darauf hinauslaufen, dass Onlinelupe.de & Co. dort auch bald einziehen werden…außer jemand hat noch einen anderen unschlagbaren Tipp (entscheidend ist nicht der Preis, sondern Leistung, Performance, Sicherheit und Stabilität) ?

Mein Fazit nach einer langen Nacht

Mein Fazit der ganzen Sache ist so simpel wie altbekannt: nur Daten, die aktuell gehalten werden und regelmäßige Backups können Deinen WordPress Blog vor großen Katastrophen schützen! 

Das ist, weiß Gott, keine Weltneuheit. Man kann es jedoch nicht oft und eindringlich genug betonen. Gern wähnt man sich auch im Glauben „Ach, passiert mir nicht“. Dann lass Dir gesagt sein: „Doch, früher oder später kann es auch Dich erwischen!“.

Damit will ich keine Ängste schüren, jedoch ist der Nervenzusammenbruch praktisch schon vorprogrammiert, wenn Du irgendwann auf eine infizierte WordPress-Installation blickst und keinen Plan B (=Backup) aus dem Ärmel schütteln kannst.

Ein paar hilfreiche Artikel zu Viren, Malware und Backups aus anderen Blogs

 

Wer schreibt hier? Jasmina

Hi! Ich bin Jasmina, die Autorin von onlinelupe.de. Seit 2010 schreibe ich hier über digitales Arbeiten und Selbständigkeit im Internet.

22 Kommentare

  1. Also ich hätte als allererstes mal die Passwörter der DB, FTP, Server und Admin des WP geändert, bevor ich angefangen hätte, irgendwie fehlt mir das in Deiner Beschreibung ;)

  2. ich glaube nicht, dass es am Hoster liegt – bzw. durch den Wechsel das Problem behoben wird. Ich vermute auch wie nasch, dass der Angriff eher über den FTP-Zugang erfolgte. Da helfen dann alle WordPress Sicherungen herzlich wenig.
    Ich hatte vor knapp 2 Jahren das gleiche Problem auf meiner Webseite. Auch dort wurde in der Index.htm ein IFrame mit schädlichem Code eingebaut. Das ändern des Kennwort des FTP-Zugangs im ersten Schritt und die löschung des Codes im zweiten Schritt behob das Problem. Wenn es allerdings in kurzer Zeit wieder „Geknackt“ wird, wie bei Dir, würde ich mal den heimischen Rechner auf einen Keylogger untersuchen. Vielleicht liest jemand deine Passwörter aus..

    1. Hi Peter (lang vermisster!),

      nein, ich denke auch nicht, dass es am Hoster liegt und das Problem durch einen Wechsel ausschließlich behoben ist – das wäre schlichtweg naiv. Jedoch bin ich (wie beschrieben) schon länger unzufrieden was den Support und die Performance betrifft. Und ganz ausschließlich, dass jener Server nicht doch ein beliebtes „Ziel“ ist kann ich letztlich aber auch nicht. Keylogger auf meinem Rechner ist eigentlich fast unmöglich ;-) . Habe zumindest schon seit jeher alle möglichen Geschütze aufgefahren, die es so gibt :)

      LG und Gute Nacht !

  3. Das mit den Angriffen scheint ja nicht enden zu wollen!

    Einen Hoster mit gutem Support und auch guten Servern ist all-inkl.com.

    Ich bin da jetzt seit knapp einem Jahr und sehr zufrieden.

    Auf Fragen wird meist innerhalb weniger Minuten bis maximal einer Stunde geantwortet!

      1. Hallo Marcus,

        lieben Dank auch für Dein Feedback. All-Inkl habe ich noch gar nicht wirklich in Betracht gezogen, aber ich schaue mir das auf jeden Fall nochmal an, bevor ich mich entscheide.

        Secure WordPress wurde mir auch soeben von Natascha (wds7.com) empfohlen – ist auch schon installiert :) .

        LG

  4. Deinen Artikel habe ich überaus interessant gefunden. Ich hab zwar bisher noch kein Problem mit meinen Websites und Blogs gehabt, aber ich hatte ein Problem auf meinem Laptop.
    Ich habe einen sehr guten Host in den USA. Bietet mehr und kostet dafür weniger. Außerdem ist der support bei den Amis einzigartig und rund um die Uhr. Per Chat meldet sich sofort jemand und per mail dauerts auch nicht lang. Die tun dann, was sie können, um zu helfen. Mit einem US-Host hättest du nicht selbst lange herumsuchen müssen. Hab von Amis noch nie gehört, dass sie Malware abbekommen haben. Was das Internet anlangt, haben die uns ganz einfach einiges voraus. Auch hab ich mich schon sehr an das cpanel gewöhnt und werde nie wieder einen europäischen Host wählen. Leider habe ich eine Website in Österreich. Der support ist zum schmeißen.

  5. Ich installiere standardmäßig bei meinen Kunden die folgenden PlugIns, um die Blogs und Webseiten vor Angriffen zu schützen:

    BulletProof Security -> eine Art Firewall für die WordPress-Installation)
    Block Bad Queries (BBQ) -> schützt den Blog vor schädlichen URL-Anfragen
    BackUpWordPres -> Damit wird täglich automatisch eine Sicherung der Datenbank und der WordPress-Datein erstellt, die man auf Wunsch auch per E-Mail zugesendet bekommt.

    Der Vollständigkeit halber sei auch noch AntispamBee erwähnt, dass sehr zuverlässig Spamkommentare blockiert und dabei im Gegensatz zu Akisme datenschutzrechtlich unbedenklich ist.

  6. Ach ja, wegen des Hosters kann ich Domainfactory nur wärmstens empfehlen. Die haben quasi mit mir gemeinsam bei einem Hackerangriff auf die Seite eines Kunden quasi die ganze Nacht durchgekämpft, bis endlich Ruhe war – Und das an einem Samstag *daumenhoch*

  7. Meine Website ist gerade aus dem Google Index geflogen und ich dachte mir warum?
    Grund: Malware welche sich bei WordPress in der htaccess festsetzt. Trotz löschen der Malware in der htaccess war sich wieder da.
    Grund wie in diesem Artikel beschrieben ist die Timthumb Dateien. Diese Datei ist für die Funktion von Online Bildzuschnitt verantwortlich und so ziehmlich in jeden theme zu finden. (Facebook Fanpage Plugin etc.)
    Also das Problem tritt nicht nur bei WordPress auf sondern auch bei allen anderen bekannte CMS-Systemen. (Joomla)
    Lösung:

    1) Installation von Plugin.
    http://wordpress.org/extend/plugins/antivirus/

    Erkennt die Schadhaften Anteile vom Theme bzw. Ordner

    2) Theme löschen und neu installieren

    3) Update der veralterten Thimbthumb

    http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/

    Man muss nicht die ganze Installation löschen.

    Also viel Glück.

  8. also ich hatte jetzt auch so ein Problem, zwar kein Virus, aber da hat man im Quellqode Links zu Viagra etc gesetzt, nur sichtbar wenn Java Script nicht aktiviert war.
    hatte das vor einiger Zeit schon mal, neues Theme und WordPress aktualisiert und es ging, jetzt aber wieder, muss also doch über Timthumb geschehen

  9. Pingback: Blogopoly » Safety First–Malware vom Blog entfernen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert