Bin ich von einem Trojaner infiziert?

15. März 2010 Blog 7 Kommentare »

Angefangen hat die Geschichte damit, dass ich gelesen habe, dass Besucher mit sehr eigenartigen Keywords auf meinen Webspace gekommen sind:

  1. chocolate and white zebra cake recipe
  2. sausage making products n.z.
  3. webkinz cooking recipes
  4. romanian desserts
  5. crock pot mexican breakfast
  6. usw.

Auf welche Seite diese Keywords gelinkt sind, konnte ich leider nicht in den Blogstats von WordPress erkennen, also habe ich direkt diese mal bei Google eingegeben. Und was sehe ich da auf Platz 3? Einen Link auf „www.mendener.net/ituk/isa.php?cupcakeszebracakerecipes“.
Nur wie kann das sein? Diese Seite existiert doch gar nicht!
Also dann direkt per FTP auf dem Webspace vorbeigeschaut und den Ordner „ituk“ gabs tatsächlich. Panik!
Dann sofort den Ordner gelöscht und Passwörter für Webspace und FTP geändert.

Einen Tag später habe ich dieses Phänomen wieder beobachtet, irgendwie wurde ein neuer Ordner „uxym“ erstellt. Dieses Mal habe ich den Ordner auf den Space gelassen und den Support meines Hosters direkt angeschrieben.
Dieser meinte nach einigem hin und her, dass ich meine Software up2date halten sollte. Tja, Firefox und Filezilla sind up2date und außerdem kein Passwort mehr gespeichert.

Ist es evtl. derselbe Trojaner wie bei Tanja? Allerdings speicher ich nach der Passwort-Änderung keine Passwörter mehr im Filezilla und „Super Antispyware Free Edition“ hat auf keinem meiner Rechner etwas gefunden. Auch Antivir ist auf allen Rechnern auf dem neusten Stand.

Habt ihr da evtl. eine Idee?

7 Kommentare


  1. Marcel

    am 15. März 2010 um 22:52

    Schau mal in deine htaccess


  2. maTTes

    am 16. März 2010 um 09:25

    Da steht nichts verdächtiges drin oder was meinst du?


  3. Crazy Girl

    am 17. März 2010 um 12:51

    Der Trojaner den ich hatte, ist das nicht. Der hat nur in bestehende Dateien was eingefügt, so dass WordPress innerhalb von kurzer Zeit abstürzte und nichts mehr anzeigte außer Fehlermeldungen.

    Wenn Dir jemand was auf den Server schreibt solltest Du mal herausfinden wer das ist. Mit den Logs vom Provider sollte das schon gehen. Und dann suchen, kann auch ein Plugin sein, das sich mit solchen Fiesemetenten einschleicht. Wenn alles gefunden und eliminiert, dann auf jeden Fall WordPress neu drüber bügeln. Wer weiß was in den Core noch alles eingeschleust wurde…


  4. maTTes

    am 18. März 2010 um 11:42

    Danke für deinen Rat, ich werde mal weiter-recherchieren.


  5. Caspar

    am 19. März 2010 um 01:26

    Hallo,

    schau mal ob der Ordner, der neu erstellt wurde, dem selben User gehört wie die Ordner die du erstellst mit deinem FTP Programm.
    Wenn ja : Dein Rechner zu Hause ist infiziert.
    Wenn nein : Dein Webspace, oder Server davon ist infiziert.

    Wenn ja :
    Sämtliche Passwörter von einem anderen Rechner aus ändern und deinen Rechner am besten neu machen.

    Wenn nein :
    Deinen Hoster anschreiben das vermutlich auf deinem Webspace eine sogenannte „shell“ hoch geladen wurde.
    Am besten teilst du dem Hoster auch den User mit dem die Ordnerr erstellt werden.

    Wenn tatsächlich auf deinem Webspace eine shell gelandet ist dann hast du in irgendeinem Sript (Plugin, etc) eine Schwachstelle die ausgenutzt wurde und du solltest deinen Webspace komplett leer machen und alles neu einrichten. Nicht mit Backups!

    Viel Erfolg Caspar


  6. maTTes

    am 19. März 2010 um 09:43

    Hallo Caspar,
    vielen Dank für deinen Rat.

    Als Benutzer wurde tatsächlich meiner genommen. Passwort wurde hier an einem MAC geändert, da fühl ich mich schon irgendwie sicherer 😉
    Die Frage ist jetzt nur noch, WO, WIE und seit WANN bin ich infiziert?
    Auf meinen beiden PCs ist halt die Antivirensoftware up2date, habe auch schon gescannt und nix gefunden. Außerdem schlägt die Antispyware auch nicht aus.

    Wie kann man da noch die Suche eingrenzen? Also zumindest welcher PC verseucht ist.


  7. Galathan

    am 2. April 2010 um 17:48

    Viagra und co hätte ich ja noch verstanden, aber das sind extrem merkwürdige Keywords, an die der Spyware-Produzent da ran will.

Schreibe einen Kommentar