*Falls ihr eine Website habt oder betreut und die evtl. mit einem CMS wie WordPress, Joomla oder Drupal betrieben wird, dann achtet auf den folgenden Code im Quelltext.* --------- ![malware-detected.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1519840525/dvaeaia9renlr2trp88u.png) [Symboldbild, CC0, [Pixabay](https://pixabay.com/de/warnung-alarm-erkannt-malware-2168379/)] ## Worum geht es? Wir haben in den letzten Wochen mehrere WordPress-Websites von Neukunden bekommen, die wir im Rahmen von Wartungsverträgen betreuen sollen. Dabei ist uns aufgefallen, dass einige Websites mit dem folgenden Code befallen waren: ![wtf2.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1519840735/zjghftpcixoforxgl3r9.png) [Der Schadcode: Javascript im Quelltext] Da ich bei den Websites, die neu in unsere Wartung ankommen immer einen Sicherheitsdurchgang durchführe ist mir da sehr schnell aufgefallen, auch wenn sich der Schadcode vergleichsweise unauffällig verhält. Der Javascript-Code nistet sich im Kopfbereich und wenn man in den Quelltext schaut, dann findet man ihn recht zügig. Im Frontend selber fällt der Code nicht direkt auf, man merkt lediglich ab und an, dass sich im Hintergrund irgendwelche zwielichtige Links im neuen Tab aufmachen. Aus den Gesprächen mit den Kollegen habe ich erfahren, dass nicht nur WordPress- **sondern auch** Joomla- und Drupal-Websites befallen werden. Um die eine Website abzusichern, die mit #WordPress betrieben wird habe ich vor kurzem folgenden Artikel verfasst: **[WordPress absichern, Edition 2018](https://www.perun.net/2018/01/12/wordpress-absichern-edition-2018/)** Die Tipps die dort beschrieben werden, sind gut vorab die Seite abzusichern. Aber einige davon helfen auch wenn die Seite befallen wurde. Bei diesem Befall ist es wichtig, dass man die Passwörter neu vergibt und achtet welche Plugins, Benutzer und Dateien auf dem FTP-Server sind verdächtig und neu hinzugekommen. Diese muss man dann löschen. Was sich auch empfiehlt ist, dass man die Code-Dateien des Systems manuell auf dem FTP löscht und durch saubere Pakete aus den offiziellen Quellen ersetzt. Ratsam ist es auch, dass man alte Erweiterungen und Themes/Templates durch aktuellere oder weiter gepflegte ersetzt. Ein weiterer wichtiger Link zu diesem Thema ist dieser hier: [Unwanted Redirects via Infected JavaScript Files](https://blog.sucuri.net/2017/04/wordpress-security-unwanted-redirects-via-infected-javascript-files.html)
post_id | 35,833,954 |
---|---|
author | vladimir-simovic |
permlink | sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code |
category | deutsch |
json_metadata | "{"format": "markdown", "community": "busy", "links": ["https://pixabay.com/de/warnung-alarm-erkannt-malware-2168379/", "/trending/wordpress", "https://www.perun.net/2018/01/12/wordpress-absichern-edition-2018/", "https://blog.sucuri.net/2017/04/wordpress-security-unwanted-redirects-via-infected-javascript-files.html"], "tags": ["deutsch", "busy", "security", "malware", "wordpress"], "app": "busy/2.4.0", "image": ["https://steemitimages.com/0x0/https://res.cloudinary.com/hpiynhbhq/image/upload/v1519840525/dvaeaia9renlr2trp88u.png"]}" |
created | 2018-02-28 18:11:42 |
last_update | 2018-02-28 18:14:00 |
depth | 0 |
children | 4 |
net_rshares | 3,335,075,790,231 |
last_payout | 2018-03-07 18:11:42 |
cashout_time | 1969-12-31 23:59:59 |
total_payout_value | 14.461 SBD |
curator_payout_value | 4.062 SBD |
pending_payout_value | 0.000 SBD |
promoted | 0.000 SBD |
body_length | 2,473 |
author_reputation | 56,522,611,888,290 |
root_title | "Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code" |
beneficiaries | [] |
max_accepted_payout | 1,000,000.000 SBD |
percent_steem_dollars | 10,000 |
author_curate_reward | "" |
voter | weight | wgt% | rshares | pct | time |
---|---|---|---|---|---|
germansailor | 0 | 66,584,318,244 | 100% | ||
xaero1 | 0 | 2,758,366,294,247 | 21% | ||
saamychristen | 0 | 44,933,830,608 | 80% | ||
anonimnotoriu | 0 | 406,663,562 | 10% | ||
kirkins | 0 | 1,005,757,270 | 10% | ||
oendertuerk | 0 | 36,024,642,122 | 20% | ||
andyjaypowell | 0 | 43,548,703,284 | 20% | ||
justdentist | 0 | 16,069,584,409 | 30% | ||
physalis | 0 | 5,396,680,902 | 50% | ||
corneliastrunz | 0 | 690,456,126 | 100% | ||
reiseamateur | 0 | 15,320,296,249 | 50% | ||
depotboost | 0 | 108,751,728,496 | 51% | ||
eikejanssen | 0 | 7,484,968,314 | 15% | ||
vladimir-simovic | 0 | 124,634,367,203 | 100% | ||
mikenero | 0 | 38,281,094,009 | 25% | ||
argalf | 0 | 11,936,109,676 | 100% | ||
laraventure | 0 | 13,711,169,271 | 60% | ||
jegede | 0 | 447,772,097 | 100% | ||
youngatheart | 0 | 3,224,339,181 | 100% | ||
security101 | 0 | 15,268,514,704 | 100% | ||
rilc0n | 0 | 173,425,207 | 20% | ||
flugschwein | 0 | 609,798,580 | 100% | ||
thedende | 0 | 1,925,398,763 | 100% | ||
tineschreibt | 0 | 6,481,491,015 | 100% | ||
mwfiae | 0 | 10,724,410,152 | 100% | ||
dennis.bacchus | 0 | 1,355,244,531 | 100% | ||
hackerzizon | 0 | 141,617,618 | 1% | ||
crashdavis | 0 | 385,841,405 | 100% | ||
zynatrix | 0 | 585,718,560 | 100% | ||
blackseals | 0 | 605,554,426 | 100% |
Danke für den Tip! Muss mich gleich ran machen und kontrolliern. Auch wenn alles rund läuft, lohnt es sich mal ab und zu diverse dinge zu kontrollieren, mit der Zeit denkt man an solche Dinge nicht mehr, da sie ja funktionieren. lg
post_id | 35,853,524 |
---|---|
author | reiseamateur |
permlink | re-vladimir-simovic-sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code-20180228t200920757z |
category | deutsch |
json_metadata | "{"app": "steemit/0.1", "tags": ["deutsch"]}" |
created | 2018-02-28 20:09:21 |
last_update | 2018-02-28 20:09:21 |
depth | 1 |
children | 0 |
net_rshares | 13,213,400,536 |
last_payout | 2018-03-07 20:09:21 |
cashout_time | 1969-12-31 23:59:59 |
total_payout_value | 0.052 SBD |
curator_payout_value | 0.016 SBD |
pending_payout_value | 0.000 SBD |
promoted | 0.000 SBD |
body_length | 231 |
author_reputation | 76,442,227,425,259 |
root_title | "Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code" |
beneficiaries | [] |
max_accepted_payout | 1,000,000.000 SBD |
percent_steem_dollars | 10,000 |
author_curate_reward | "" |
voter | weight | wgt% | rshares | pct | time |
---|---|---|---|---|---|
vladimir-simovic | 0 | 13,213,400,536 | 12% |
Danke für den Hinweis. Ist bekannt wie die Sache dorthin gelangen konnte?
post_id | 37,105,343 |
---|---|
author | blackseals |
permlink | re-vladimir-simovic-sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code-20180306t200057607z |
category | deutsch |
json_metadata | "{"app": "steemit/0.1", "tags": ["deutsch"]}" |
created | 2018-03-06 20:00:57 |
last_update | 2018-03-06 20:00:57 |
depth | 1 |
children | 2 |
net_rshares | 24,539,172,424 |
last_payout | 2018-03-13 20:00:57 |
cashout_time | 1969-12-31 23:59:59 |
total_payout_value | 0.072 SBD |
curator_payout_value | 0.021 SBD |
pending_payout_value | 0.000 SBD |
promoted | 0.000 SBD |
body_length | 73 |
author_reputation | 582,848,328,798 |
root_title | "Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code" |
beneficiaries | [] |
max_accepted_payout | 1,000,000.000 SBD |
percent_steem_dollars | 10,000 |
author_curate_reward | "" |
voter | weight | wgt% | rshares | pct | time |
---|---|---|---|---|---|
vladimir-simovic | 0 | 24,539,172,424 | 21% |
Es gibt mehrere Wege: zum einen durch das normale Login, wenn die Passwörter schwach sind oder durch die XML-RPC-Schnittstelle.
post_id | 37,134,964 |
---|---|
author | vladimir-simovic |
permlink | re-blackseals-re-vladimir-simovic-sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code-20180306t232310553z |
category | deutsch |
json_metadata | "{"app": "steemit/0.1", "tags": ["deutsch"]}" |
created | 2018-03-06 23:23:12 |
last_update | 2018-03-06 23:23:12 |
depth | 2 |
children | 1 |
net_rshares | 612,723,096 |
last_payout | 2018-03-13 23:23:12 |
cashout_time | 1969-12-31 23:59:59 |
total_payout_value | 0.000 SBD |
curator_payout_value | 0.000 SBD |
pending_payout_value | 0.000 SBD |
promoted | 0.000 SBD |
body_length | 127 |
author_reputation | 56,522,611,888,290 |
root_title | "Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code" |
beneficiaries | [] |
max_accepted_payout | 1,000,000.000 SBD |
percent_steem_dollars | 10,000 |
author_curate_reward | "" |
voter | weight | wgt% | rshares | pct | time |
---|---|---|---|---|---|
blackseals | 0 | 612,723,096 | 100% |
Ok, danke für die Info. Also somit keine alte (=bekannte) oder neue Sicherheitslücke?
post_id | 37,190,941 |
---|---|
author | blackseals |
permlink | re-vladimir-simovic-re-blackseals-re-vladimir-simovic-sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code-20180307t061912851z |
category | deutsch |
json_metadata | "{"app": "steemit/0.1", "tags": ["deutsch"]}" |
created | 2018-03-07 06:19:12 |
last_update | 2018-03-07 06:19:12 |
depth | 3 |
children | 0 |
net_rshares | 0 |
last_payout | 2018-03-14 06:19:12 |
cashout_time | 1969-12-31 23:59:59 |
total_payout_value | 0.000 SBD |
curator_payout_value | 0.000 SBD |
pending_payout_value | 0.000 SBD |
promoted | 0.000 SBD |
body_length | 85 |
author_reputation | 582,848,328,798 |
root_title | "Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code" |
beneficiaries | [] |
max_accepted_payout | 1,000,000.000 SBD |
percent_steem_dollars | 10,000 |