Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code by vladimir-simovic

View this thread on steempeak.com
deutsch · @vladimir-simovic · (edited)
$18.52
Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code
*Falls ihr eine Website habt oder betreut und die evtl. mit einem CMS wie WordPress, Joomla oder Drupal betrieben wird, dann achtet auf den folgenden Code im Quelltext.*

---------

![malware-detected.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1519840525/dvaeaia9renlr2trp88u.png)
[Symboldbild, CC0, [Pixabay](https://pixabay.com/de/warnung-alarm-erkannt-malware-2168379/)]

## Worum geht es?

Wir haben in den letzten Wochen mehrere WordPress-Websites von Neukunden bekommen, die wir im Rahmen von Wartungsverträgen betreuen sollen. Dabei ist uns aufgefallen, dass einige Websites mit dem folgenden Code befallen waren:

![wtf2.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1519840735/zjghftpcixoforxgl3r9.png)
[Der Schadcode: Javascript im Quelltext]

Da ich bei den Websites, die neu in unsere Wartung ankommen immer einen Sicherheitsdurchgang durchführe ist mir da sehr schnell aufgefallen, auch wenn sich der Schadcode vergleichsweise unauffällig verhält.

Der Javascript-Code nistet sich im Kopfbereich und wenn man in den Quelltext schaut, dann findet man ihn recht zügig. Im Frontend selber fällt der Code nicht direkt auf, man merkt lediglich ab und an, dass sich im Hintergrund irgendwelche zwielichtige Links im neuen Tab aufmachen.

Aus den Gesprächen mit den Kollegen habe ich erfahren, dass nicht nur WordPress- **sondern auch** Joomla- und Drupal-Websites befallen werden.

Um die eine Website abzusichern, die mit #WordPress betrieben wird habe ich vor kurzem folgenden Artikel verfasst:

**[WordPress absichern, Edition 2018](https://www.perun.net/2018/01/12/wordpress-absichern-edition-2018/)**

Die Tipps die dort beschrieben werden, sind gut vorab die Seite abzusichern. Aber einige davon helfen auch wenn die Seite befallen wurde. Bei diesem Befall ist es wichtig, dass man die Passwörter neu vergibt und achtet welche Plugins, Benutzer und Dateien auf dem FTP-Server sind verdächtig und neu hinzugekommen.

Diese muss man dann löschen. Was sich auch empfiehlt ist, dass man die Code-Dateien des Systems manuell auf dem FTP löscht und durch saubere Pakete aus den offiziellen Quellen ersetzt. Ratsam ist es auch, dass man alte Erweiterungen und Themes/Templates durch aktuellere oder weiter gepflegte ersetzt.

Ein weiterer wichtiger Link zu diesem Thema ist dieser hier:

[Unwanted Redirects via Infected JavaScript Files](https://blog.sucuri.net/2017/04/wordpress-security-unwanted-redirects-via-infected-javascript-files.html)
👍  , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
properties (23)
post_id35,833,954
authorvladimir-simovic
permlinksicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code
categorydeutsch
json_metadata"{"format": "markdown", "community": "busy", "links": ["https://pixabay.com/de/warnung-alarm-erkannt-malware-2168379/", "/trending/wordpress", "https://www.perun.net/2018/01/12/wordpress-absichern-edition-2018/", "https://blog.sucuri.net/2017/04/wordpress-security-unwanted-redirects-via-infected-javascript-files.html"], "tags": ["deutsch", "busy", "security", "malware", "wordpress"], "app": "busy/2.4.0", "image": ["https://steemitimages.com/0x0/https://res.cloudinary.com/hpiynhbhq/image/upload/v1519840525/dvaeaia9renlr2trp88u.png"]}"
created2018-02-28 18:11:42
last_update2018-02-28 18:14:00
depth0
children4
net_rshares3,335,075,790,231
last_payout2018-03-07 18:11:42
cashout_time1969-12-31 23:59:59
total_payout_value14.461 SBD
curator_payout_value4.062 SBD
pending_payout_value0.000 SBD
promoted0.000 SBD
body_length2,473
author_reputation56,522,611,888,290
root_title"Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code"
beneficiaries[]
max_accepted_payout1,000,000.000 SBD
percent_steem_dollars10,000
author_curate_reward""
vote details (30)
@reiseamateur ·
$0.07
Danke für den Tip! Muss mich gleich ran machen und kontrolliern. Auch wenn alles rund läuft, lohnt es sich mal ab und zu diverse dinge zu kontrollieren, mit der Zeit denkt man an solche Dinge nicht mehr, da sie ja funktionieren. lg
👍  
properties (23)
post_id35,853,524
authorreiseamateur
permlinkre-vladimir-simovic-sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code-20180228t200920757z
categorydeutsch
json_metadata"{"app": "steemit/0.1", "tags": ["deutsch"]}"
created2018-02-28 20:09:21
last_update2018-02-28 20:09:21
depth1
children0
net_rshares13,213,400,536
last_payout2018-03-07 20:09:21
cashout_time1969-12-31 23:59:59
total_payout_value0.052 SBD
curator_payout_value0.016 SBD
pending_payout_value0.000 SBD
promoted0.000 SBD
body_length231
author_reputation76,442,227,425,259
root_title"Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code"
beneficiaries[]
max_accepted_payout1,000,000.000 SBD
percent_steem_dollars10,000
author_curate_reward""
vote details (1)
@blackseals ·
$0.09
Danke für den Hinweis. Ist bekannt wie die Sache dorthin gelangen konnte?
👍  
properties (23)
post_id37,105,343
authorblackseals
permlinkre-vladimir-simovic-sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code-20180306t200057607z
categorydeutsch
json_metadata"{"app": "steemit/0.1", "tags": ["deutsch"]}"
created2018-03-06 20:00:57
last_update2018-03-06 20:00:57
depth1
children2
net_rshares24,539,172,424
last_payout2018-03-13 20:00:57
cashout_time1969-12-31 23:59:59
total_payout_value0.072 SBD
curator_payout_value0.021 SBD
pending_payout_value0.000 SBD
promoted0.000 SBD
body_length73
author_reputation582,848,328,798
root_title"Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code"
beneficiaries[]
max_accepted_payout1,000,000.000 SBD
percent_steem_dollars10,000
author_curate_reward""
vote details (1)
@vladimir-simovic · 
Es gibt mehrere Wege: zum einen durch das normale Login, wenn die Passwörter schwach sind oder durch die XML-RPC-Schnittstelle.
👍  
properties (23)
post_id37,134,964
authorvladimir-simovic
permlinkre-blackseals-re-vladimir-simovic-sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code-20180306t232310553z
categorydeutsch
json_metadata"{"app": "steemit/0.1", "tags": ["deutsch"]}"
created2018-03-06 23:23:12
last_update2018-03-06 23:23:12
depth2
children1
net_rshares612,723,096
last_payout2018-03-13 23:23:12
cashout_time1969-12-31 23:59:59
total_payout_value0.000 SBD
curator_payout_value0.000 SBD
pending_payout_value0.000 SBD
promoted0.000 SBD
body_length127
author_reputation56,522,611,888,290
root_title"Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code"
beneficiaries[]
max_accepted_payout1,000,000.000 SBD
percent_steem_dollars10,000
author_curate_reward""
vote details (1)
@blackseals · 
Ok, danke für die Info. Also somit keine alte (=bekannte) oder neue Sicherheitslücke?
properties (22)
post_id37,190,941
authorblackseals
permlinkre-vladimir-simovic-re-blackseals-re-vladimir-simovic-sicherheit-falls-ihr-eine-website-habt-betreut-dann-achtet-bitte-auf-den-folgenden-code-20180307t061912851z
categorydeutsch
json_metadata"{"app": "steemit/0.1", "tags": ["deutsch"]}"
created2018-03-07 06:19:12
last_update2018-03-07 06:19:12
depth3
children0
net_rshares0
last_payout2018-03-14 06:19:12
cashout_time1969-12-31 23:59:59
total_payout_value0.000 SBD
curator_payout_value0.000 SBD
pending_payout_value0.000 SBD
promoted0.000 SBD
body_length85
author_reputation582,848,328,798
root_title"Sicherheit: 🔒 falls ihr eine Website habt/betreut, dann achtet bitte auf den folgenden Code"
beneficiaries[]
max_accepted_payout1,000,000.000 SBD
percent_steem_dollars10,000
Help/Feedback