Schlagwort-Archive: Trojaner

WordPress-Update und Quelle des Trojaners gefunden

buttonw-grey

Lange Zeit lang habe ich es vor mir her geschoben, aber jetzt habe ich es endlich hinter mir: die Rede ist hier von einem WordPress Update auf die aktuellste Version. Die Version, die ich bis gestern installiert hatte und unberührt blieb, wollt ihr wohl lieber nicht wissen. Aber gut, ich sags euch: es war die Version 2.5.x, also schon ein richtig alter Schinken. Die Versionen haben immer große, schnelle Sprünge gemacht und letztendlich habe ich mich nicht getraut ein Update von dem ganzen zu machen. Zu Unrecht, wie ich jetzt festgestellt habe. Es ging alles viel einfacher als ich vorher dachte. Erst fleißig Backups von der Datenbank und allen Dateien auf dem Webserver gemacht, alle Daten bis auf den wp_content Ordner und wp_config gelöscht, neue WordPress-Installation hochgeladen, Domain+/wp-admin/upgrade.php aufgerufen und damit hat sich das ganze. Jetzt konnte ich auch endlich wieder alle Plugins anständig aktualisieren lassen. Hätte übrigens der Matthias von ZenToDone mir nicht noch Mut gemacht und mir den ganzen Ablauf erklärt, hätte ich es bestimmt noch weiter vor mir her geschoben. Ein großes Danke an ihn!

Beim Herunterladen aller Dateien vom Webserver schlug meine Antiviren-Software Alarm: in 2 Dateien waren wohl Muster eines PHP-Hacks. Diese haben sich irgendwie weit im Verzeichnisbaum eingenistet mit der Hoffnung natürlich nicht gefunden zu werden. Wie diese jetzt auf meinen Webspace gekommen sind, kann ich leider nicht sagen, aber diese scheinen auch für diese komischen Ordner auf meinem Webspace verantwortlich gewesen zu sein. Denn seit dem ist auch Stille, keine automatisch erstellten Ordner mehr, die aus dem Nichts auftauchen. Also habe ich irgendwie 2 Fliegen mit einer Klappe geschlagen.

So, als nächstes suche ich ein anständiges, neues Layout. Das jetzige gefällt mir gar nicht mehr, mit Ausnahme vom Banner. Falls ihr da konkrete Tipps habt, immer her damit.

Bin ich von einem Trojaner infiziert?

Angefangen hat die Geschichte damit, dass ich gelesen habe, dass Besucher mit sehr eigenartigen Keywords auf meinen Webspace gekommen sind:

  1. chocolate and white zebra cake recipe
  2. sausage making products n.z.
  3. webkinz cooking recipes
  4. romanian desserts
  5. crock pot mexican breakfast
  6. usw.

Auf welche Seite diese Keywords gelinkt sind, konnte ich leider nicht in den Blogstats von WordPress erkennen, also habe ich direkt diese mal bei Google eingegeben. Und was sehe ich da auf Platz 3? Einen Link auf „www.mendener.net/ituk/isa.php?cupcakeszebracakerecipes“.
Nur wie kann das sein? Diese Seite existiert doch gar nicht!
Also dann direkt per FTP auf dem Webspace vorbeigeschaut und den Ordner „ituk“ gabs tatsächlich. Panik!
Dann sofort den Ordner gelöscht und Passwörter für Webspace und FTP geändert.

Einen Tag später habe ich dieses Phänomen wieder beobachtet, irgendwie wurde ein neuer Ordner „uxym“ erstellt. Dieses Mal habe ich den Ordner auf den Space gelassen und den Support meines Hosters direkt angeschrieben.
Dieser meinte nach einigem hin und her, dass ich meine Software up2date halten sollte. Tja, Firefox und Filezilla sind up2date und außerdem kein Passwort mehr gespeichert.

Ist es evtl. derselbe Trojaner wie bei Tanja? Allerdings speicher ich nach der Passwort-Änderung keine Passwörter mehr im Filezilla und „Super Antispyware Free Edition“ hat auf keinem meiner Rechner etwas gefunden. Auch Antivir ist auf allen Rechnern auf dem neusten Stand.

Habt ihr da evtl. eine Idee?