WordPress-Website wegen Virus gesperrt -Retten und Entfernen

WordPress (WP) ist eines der beliebtesten Content Management Systeme. Es lässt sich leicht installieren und benutzen, einige Hoster bieten One-Klick-Installationen an, um auch Laien den Einsatz von WordPress zu ermöglichen. Je beliebter ein Programm, um so mehr steht es im Visier von Kriminellen. Nicht umsonst sind die Programme von Microsoft beliebte Ziele von Viren-Schreibern. Ist eine WordPress-Installation betroffen, bekommt der Anwender völlig unvermutet eine Warnung in seinem Browser angezeigt. Diese stammt vom Browser selbst oder vom Anti-Viren-Programm, was den Zugriff verhindert.

Beispiel einer Warnung, hier beim Einsatz eines Produkts von AVIRA

Beispiel einer Warnung, hier beim Einsatz eines Produkts von AVIRA, die Warnmeldung kann jedoch auch anders aussehen.

Was tun, wenn meine WordPress-Installation einen Virus enthält?

In den meisten Fällen wurden Sie Opfer eines automatischen Angriffs. Täglich werden Schwachstellen in Software gefunden und auch ausgenutzt. Ein Skript hat eine Sicherheitslücke in ihrer WP-Installation gefunden oder auf dem Server ihres Hosters und automatisch Code in ihre wichtigsten Dateien geschrieben. Möglicherweise wurden Ihnen Dateien untergeschoben, die sogenannte Malware (Schadsoftware wie Viren, Trojaner, Würmer o.ä.) enthalten und/ oder weiterverbreiten. Wird im letzten Fall ihr Hoster darauf aufmerksam gemacht, so löscht er die Seiten. Wenn dies noch nicht passiert ist, so können Sie ihre Daten und Webseite jedoch noch retten. Sie benötigen dazu ein ftp-Programm und die ftp-Zugangsdaten bei ihrem Hoster. Da die Online-Gangster die Sache automatisiert haben, müssen Sie „nur“ nach Dateien suchen, die auf jeder Standard-Wordpress- Installation vorhanden sind. In diese wird dann eine unkenntlich gemachtes (obfuscated) Stück Code/ Script geschrieben. Hauptsächlich betroffen sind index.html oder index.php oder auch main.php. Vergleichen Sie zunächst die Erstellungs-/ Änderungsdaten, um zu sehen, ob diese in letzter Zeit geändert wurden. Laden Sie die Dateien herunter und öffnen Sie sie in einem Text-Editor! Auf keinen Fall dürfen die Dateien im Browser, im E-Mail-Programm oder einem anderem Programm was HTML-Code ausführt geöffnet werden. Zu Beginn der Datei finden Sie dann eine Zeichenkolonne, meist sehr lang ist und/oder über mehrere Zeilen geht.

Das sieht dann so aus:

PHNjcmlwdD5ldmFsKGZ1bmN0aW9uKHAsYSxjLGssZSxkKXtlPWZ1bmN0aW9uKGMpe3JldHVybihjPGE

Also sinnlos aneinander gereihte Zeichen: Zahlen, Buchstaben, Steuerzeichen, aber sehr viel länger.

Diese müssen sie nun löschen. Um Fehler zu vermeiden, sollten Sie die herunter gelandene Datei unter anderem Namen und Endung (bspw. alte-index-datei.txt) sichern. Die geänderte Datei laden Sie per ftp wieder auf den Server. Im besten Fall haben Sie den schädlichen Code-Schnipsel erwischt und erhalten keine Warnmeldung mehr beim Aufruf ihrer Internetseite. Im schlechteren Fall erhalten Sie eine Fehlermeldung, nichts geht mehr. Jetzt müssen Sie ein neue Kopie erstellen und diese erneut bearbeiten, weil Sie zuviel gelöscht haben. Wenn Sie sich unsicher sind was Sie gelöscht haben, versuchen Sie mit den nächsten Schritten Klarheit zu erlangen.

Analyse und Hilfe zum Wiederherstellen der WordPress-Installation

Escaping: Ist der Code verschleiert/ unkenntlich gemacht (obfuscated), so ist es für Laien schwer die schädlichen Teile des Scripts oder des HTML-Codes zu entfernen. Man bezeichnet diese Form der Unkenntlichmachung als Escaping Das Ergebnis sieht gruselig aus, ist es aber nicht. Meist finden Sie die Anweisung escape (siehe Beispiele im Link) und wissen dann worum es geht. Den unkenntliche Teil des Codes können Sie kopieren und weiter untersuchen. In meinem aktuellen Beispiel wurde der Code Base64 escaped, das können Sie online auflösen. Und erhalten dann eine fast lesbaren Programmcode

Nach der Umwandlung treten erste JavaScripte-Teile hervor

Nach der Umwandlung treten erste JavaScript-Teile hervor

Aber es geht noch besser.

Code beautifying: Oft hilft es schon, zu versuchen den Code in lesbare Form zu bringen, um zu sehen was die Autoren bewirken wollen. Dabei helfen sogenannte Beautifier. In unserem Fall hilft http://jsbeautifier.org/. Kopieren Sie ihren Code-Schnipsel in das Formularfeld und klicken auf „Beautify JavaScript or HTML“

JavaScript noch viel lesbarer

JavaScript noch viel lesbarer

JavaScript online ausführen: Im letzten Schritt wollen wir prüfen, ob wir den richtigen JavaScript-Code ausgeschnitten haben und welche Funktion er hatte. Auch das geht online. Ob lesbar oder nicht, unser Code wandert zu http://writecodeonline.com/javascript/ und liefert dort:

Viren-Warnung beim Ausführen desJavaScripts

Viren-Warnung beim Ausführen desJavaScripts

Abhängig davon, was die Kriminellen planten sehen sie möglicherweise auch HTML-Code mit Adressen, iFrames o.ä.

Update:

Ein weiterer Hinweis wie automatisch  verteilter Schadcode aussehen kann, findet sich im blog der Firma Websense.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.