Home » Featured, IT / Technology 
Malware in WordPress-Blogs bereinigen
Eingetragen von Thomas Schulte am 23. August 2011 – 00:1423 Kommentare
Mist! Da sorgt man dafür, dass
- das Betriebssystem aktuell ist,
- die Firewall dicht ist,
- alle Passwörter sicher sind,
- WordPress aktuell ist,
- die verwendeten WP-Plugins aktuell sind
und dann schafft es trotzdem noch jemand, mir Schadcode in mein Blog zu schleusen – über eine Sicherheitslücke im timthumb.php-Skript, das mein (kostenpflichtiges Premium!)-Theme verwendet, um die Mini-Bilder der Artikel zuzuschneiden und zu skalieren.
Das führte heute dazu, dass mein Chrome-Browser mich nicht mehr meine eigene Site besuchen ließ, sondern mir eine riesige Warnung präsentierte… “Malware-Gefahr!”, “Nicht betreten!” usw. Ich habe die Index-Seite untersucht und stieß schnell auf einen iframe, der am Ende der Seite (unterhalb des body-Tags) per JavaScript eingefügt wurde. Das Ziel war “counter-wordpress.com”. Inhalt unbekannt.
Das Schlimmste daran ist aber, dass wohl zahlreiche andere Besucher diese Malware-Meldung ebenfalls gesehen haben und möglicherweise niemals wieder kommen werden. *grrrr* Nur Google weiß, wie lange mir diese Nummer noch Probleme bei der Bewertung bereiten wird.
Natürlich ist nun erst mal wieder alles sauber und in trockenen Tüchern. Doch der Reihe nach:
- Ich habe mir die verwendete WordPress-Version (derzeit 3.2.1) heruntergeladen und im Temp-Verzeichnis ausgepackt. Dann habe ich das saubere Original mit meinem DocumentRoot verglichen (“diff -r /pfad/zum/original /pfad/zur/site”).
- Man benötigt etwas Erfahrung und Wissen über sein Blog, um aus dem diff-Output sinnvolle Schlüsse ziehen zu können. Erst mal habe ich Themes und Plugins ignoriert und mir Ungereimtheiten bei der WordPress-Basis angeschaut.
- Folgende Dateien haben bei WordPress nichts zu suchen:
wp-admin/upd.php wp-content/upd.php
- Außerdem wurde bei einigen Dateien der Inhalt manipuliert. Diese Dateien habe ich gegen die Originale ersetzt oder von Hand bereinigt:
wp-config.php wp-settings.php wp-includes/js/jquery/jquery.js wp-includes/js/l10n.js (wp-content/themes/arthemia-premium/scripts/cache/external_{MD5Hash}.php)
Außerdem habe ich natürlich in meinem Theme (Arthemia Premium) das timthumb.php-Skript durch die derzeit aktuellste Version ausgetauscht (http://timthumb.googlecode.com/svn/trunk/timthumb.php).
Zu guter Letzt habe ich dann noch das MySQL-Passwort des für das Blog verwendeten Users geändert und in der Datei “wp-config.php” aktualisiert. In dieser Datei befinden sich noch einige Sicherheitsschlüssel, die ich ebenfalls verändert habe.
Ich hoffe, nun ist Ruhe! Hat jemand ebenfalls Probleme mit diesem oder ähnlichen Hacks gehabt oder hat jemand Ergänzungen zur Bereinigung?
UPDATE:
Nach der Bereinigung empfiehlt es sich, den lokalen Browser-Cache zu leeren und die Cookies etc. zu löschen, damit die Malware-Warnung verschwindet. Außerdem sollte man einen Blick in die Google Webmaster Tools werfen, sofern man dort einen Account hat (sollte man haben!). Es war zwar bei mir nicht der Fall, aber es kann sein, dass die betroffene Site unter “Diagnose->Malware” gekennzeichnet wurde. Dann sollte man seine Site dort zur erneuten Überprüfung anmelden… sonst wird man den Malware-Status möglicherweise nicht mehr so schnell los.
Bei meiner Recherche bin ich übrigens noch auf einen Online-Scanner gestoßen, der bestimmt auch bei der Identifizierung von Problemen helfen kann: http://sitecheck.sucuri.net/scanner/.
Nach der Bereinigung empfiehlt es sich, den lokalen Browser-Cache zu leeren und die Cookies etc. zu löschen, damit die Malware-Warnung verschwindet. Außerdem sollte man einen Blick in die Google Webmaster Tools werfen, sofern man dort einen Account hat (sollte man haben!). Es war zwar bei mir nicht der Fall, aber es kann sein, dass die betroffene Site unter “Diagnose->Malware” gekennzeichnet wurde. Dann sollte man seine Site dort zur erneuten Überprüfung anmelden… sonst wird man den Malware-Status möglicherweise nicht mehr so schnell los.
Bei meiner Recherche bin ich übrigens noch auf einen Online-Scanner gestoßen, der bestimmt auch bei der Identifizierung von Problemen helfen kann: http://sitecheck.sucuri.net/scanner/.
UPDATE 2 (english version):
Okay, for those of you who don’t understand German, here’s the short version of what I’ve done:
Okay, for those of you who don’t understand German, here’s the short version of what I’ve done:
- Delete the following files:
wp-admin/upd.php wp-content/upd.php
- Replace the following files with the original files from wordpress.org:
wp-settings.php wp-includes/js/jquery/jquery.js wp-includes/js/l10n.js
- Open “wp-config.php” and check for malicious code and massive empty lines. Clear it all.
- My theme is “Arthemia Premium”. There’s a file which should be deleted, too:
wp-content/themes/arthemia-premium/scripts/cache/external_{MD5Hash}.php - Replace timthumb.php with the latest version http://timthumb.googlecode.com/svn/trunk/timthumb.php.
- Change your MySQL password and update wp-config.php.
- Change the secret keys in wp-config.php aswell.
- Clear your browser cache, cookies etc.
UPDATE 3:
Securi bloggt ebenfalls über das Thema und hat wichtige Hinweise: http://blog.sucuri.net/2011/08/timthumb-php-attacks-now-being-used-for-blackhat-spam-seo-and-maybe-break-your-site.html
Securi bloggt ebenfalls über das Thema und hat wichtige Hinweise: http://blog.sucuri.net/2011/08/timthumb-php-attacks-now-being-used-for-blackhat-spam-seo-and-maybe-break-your-site.html
Wau,
den selben Malware habe ich jetzt bei mir auch entdeckt und wusste mir nicht weiter zuhelfen..
Danke für den Beitrag.. Sehr hilfreich..
Habe mich nach deiner Anleitung gehalten.. Chrome & Safari bringen immer noch ein Malware-Warnung..
Da muss bei mir noch mehr infiziert sein..
Hat sich erledigt. Hab noch mal den Cache geleert und gut ist ..
Danke noch mal..
Wie bist du dadrauf gekommen, dass die Ursache timthumb.php war?
Ich habe nach “wordpress” und “upd.php” gegoogelt. Heraus kam letztendlich eine WordPress-Forenseite, die das Problem ebenfalls behandelt: http://wordpress.org/support/topic/iframe-hack-3
Schön, dass ich Dir mit diesem Artikel helfen konnte!
Pretty hard to read the German but thanks for writing the blog item!
Ich liebe dich :) Danke!
höhö!
Ähnliches Problem bei mir, allerdings nicht genau reproduzierbar.
Das Problem müsste doch durch ein Wiederherstellen eines alten, nicht betroffenen Datenbank-Backups behoben werden können, oder?
Hi Björn,
bei dem Hack, der hier beschrieben wird, wurden Dateien auf der Festplatte manipuliert oder hinzugefügt. Hier hilft ein reines Wiederherstellen der Datenbank natürlich nicht, da hierin nur dynamische Inhalte wie Artikel, Kommentare etc. enthalten sind.
Richtig wäre hier ein Wiederherstellen der Dateien aus einem Backup, kombiniert mit dem Schließen der Sicherheitslücke durch entsprechende Updates.
Also der Backup sollte auch schon was älter sein, denn mein Backup aus dem 14.08 war bereits infiziert..
Thank you so much for writing this up, especially the part in english too. This completely fixed up my site and now there are no malware messages :) Thanks again!
Ich hab meine Webseite auch durch den Virusscanner laufen lassen und die Malware MW:JS:2368 entdeckt. Hast du damit schon Erfahrungen gesammelt?
Hi Marcel,
“MW:JS:2368″ scheint nur eine ID des Sucuri-Scanners zu sein. Wenn man das genauer untersucht, stößt man darauf, dass es sich höchstwahrscheinlich um genau den selben Schadcode handelt, der hier in diesem Artikel behandelt wird. Damit lautet die Antwort: Ja, ich habe damit Erfahrungen gesammelt. :-) Habe sowohl mein Blog bereinigt, als auch bei der Bereinigung fremder Blogs aktiv unterstützt.
Nutzt Du auch timthumb.php auf Deiner Site?
Hi Thomas
Bis vor kurzem war das timthumb.php aktiv. Als die grosse Warnwelle allerdings losgetreten war, hab ich den Blog ziemlich schnell geupdatet. Wahrscheinlich hab ich die Datei wohl (wurde ja geraten) vergessen zu löschen und jetzt hab ich den Dreck. :(
Interessanterweise gibt der Virenscanner nur unter Avast und vielleicht anderen Scannern (aVira und Kasperky alarmieren nicht). Auch kann ich im Gegensatz zu dir http://insidegames.ch ohne Probleme mit Chrome aufrufen. Gehts bei dir auch?
Positiv ist schon mal, dass das Google Safe Browsing Diagnostic Tool keinen Verdacht auf Malware hat. Google mag Dich also noch. Daher bekommst Du im Chrome auch keine Malware-Warnung. Der Securi-Scanner findet derzeit die infizierten Dateien “wp-includes/js/l10n.js” und “wp-includes/js/jquery/jquery.js”. Außerdem scheint Dein WordPress veraltet zu sein.
Ich empfehle Dir daher Folgendes: Erstelle ein Backup Deiner Dateien und der DB, mach ein WordPress-Update auf die aktuellste Version, prüfe dann anhand dieses Artikels, ob Malware-Dateien (upd.php etc.) vorhanden sind und lösche sie gegebenenfalls. Die genannten JS-Dateien werden bereits beim Update überschrieben. Die Änderung Deiner Passwörter und der Hashes aus der wp-config.php runden das Ganze ab.
Danach sollte Dir der Securi-Scanner eigentlich melden, dass alles wieder im grünen Bereich ist.
Hey Tobi
Ich hab jetzt die DB gesichert, die neuste WordPress Version aufgespielt und siehe da, der Scanner sagt mir alles einwandfei. Kann das sein?
Ich kenne keinen Tobi, fühle mich aber einfach mal angesprochen. :-)
Der Scanner hat in den letzten Tagen reichlich gute Arbeit geleistet. Ich glaube, bei dieser thematisierten Malware liefert er zuverlässige Ergebnisse. Scheint also okay zu sein.
Glück für Dich, wenn’s so einfach war.
Ich hatte ein ähnliches Problem auf meinem Blog. Nach der Installation von gängigen Plugins direkt via WordPress hat sich auf einmal meine Adsense ID in einem meiner Plugins verändert… so kann man sich natürlich auch ein wenig geld nebenbei verdienen.
Echt ne Schweinerei!
Also Augen auf beim Plugin Kauf :)
Schöner artikel, bin zwar neu in dem Bereich aber ich lese mich gerade kräftig ein.
will demnächst auch ein Blog starten, und da sind solche Tipps echt Gold wert.Hätte nicht im Traum dran gedacht, das so was mittlerweile usus ist :( von daher ist der Artikel hier echt super :) gerade für Anfänger wie mich.
Vielen Dank für die Infos.
Bin gerade dabei, mich in WordPress einzuarbeiten…da ist vorab dieser Artikel schon ein bisschen hilfreich.
Danke für den Scanner, hat mir für ein paar Kundenwebseiten weiter geholfen.
Hab mich letzten Abend auch mal damit beschäftigt und “aufgeräumt”.
Ist gut geworden, jetzt wieder sicherer und ich bilde mir ein auch performanter ;)
Gruß
Tobi
Mein Blog istz auch gehackt worden :-(
Allerdings auf mittlerweile andere Art und Weise, bei mir tauchen auch nicht die von dir erwähnten PHP Dateien auf. Habe gerade WP neu installiert, die HTML Dateine selber gesäubert un über die Webmaster Tools ein neue Überprüfung angefordert. Mal schauen, ob ich erfolgreich war…