Malware-Befall

Da habe ich scheinbar noch mal Glück im Unglück gehabt: Meine Blogs und anderen Projekte waren mit Malware infiziert, aber es hat scheinbar keine größeren Schäden gegeben.

Malware Warnung
Die Warnung vor Malware im Chromium Browser
Da habe ich scheinbar noch mal Glück im Unglück gehabt: Meine Blogs und anderen Projekte waren mit Malware infiziert, aber es hat scheinbar keine größeren Schäden gegeben.

Der Reihe nach: am vergangenen Freitag habe ich die WordPress-Installtionen auf meinem Server, es sind derer drei, auf Version 3.4.2 aktualisiert. Dazu habe ich, wie ich es immer mache, nur das Upgrade-Pack mit den geänderten Dateien von wpde.org per FTP hochgeladen. In der Nacht zum Samstag kamen dann Mails von den Google Webmaster-Tools, dass meine Blogs als attackierend eingestuft worden sind. Es wurde Malware gefunden, und ein entsprechender Warnhinweis vor die Blogs geschaltet.

Mein erster Gedanke: Das Upgrade-Pack muss infiziert gewesen sein! Also habe ich die Version von de.wordpress.org geladen und auf den Server geschoben. Ohne Erfolg…

Also habe ich die Blogs erst mal in den Wartungsmodus gesetzt, damit ein 503er Status zurück gegeben wird, und die Suchmaschinen die Seiten erst mal nicht durchsuchen. So konnten wenigstens die die infizierten Dateien nicht finden. Dann ging die Suche los: Plugins deaktivieren, Theme auf default setzen, und häppchenweise wieder zurück schalten. Ich bekam aber bei mehreren Plugins und im Theme meines Hauptblogs Fehlermeldungen.

Ich fand nach deren Aktivierung im Headbereich der ausgelieferten Seite ein Javascript, welches definitiv nicht von mir war und dort nicht hingehörte. Das Script hatte die Aufgabe, im nicht sichtbaren Bereich der Seiten einen iFrame einzufügen, und in diesem eine PHP-Datei von einem russischen Server laden. Nur durch den Einsatz von „NoScript” ist das bei mir nicht passiert.

Parteifreunde erzählten dann von einem Exploit im FTP-Server meines Hosters, für den es noch keinen Fix gebe. Also nahm ich Kontakt mit dem Hoster auf, und durfte mir dann anhören, dass der Server sicher und mein lokaler Rechner ne Virenschleuder sein müsse, außerdem sei ich schlampig mit meinem FTP-Passwort umgegangen… :motz:

Das FTP-Passwort hatte ich eh bereits geändert, trotzdem hatte ich kurz nach dem erneuten Upload der Dateien wieder Mail-Warnungen von Google im Postfach. Erst nachdem ich alle Daten vom Server gelöscht, meinen Rechner mit ClamAV gecheckt und die Daten dann neu hochgeladen habe, hatte ich Ruhe. Bei mir wurde erwartungsgemäß kein Virus oder Trojaner gefunden, und inzwischen geben auch die Google Webmaster-Tools wieder an, dass keine Malware auf den Seiten vorhanden ist. Die Warnung im Browser sind dementsprechend auch verschwunden, meine Blogs gehören wieder mir. :clap:

Serverumzug

Heute früh bekam ich eine Mail von all-inkl mit der Ankündigung, dass u.A. mein Account aus Performancegründen auf einen anderen Server umgezogen wird.

all-inkl.comHeute früh bekam ich eine Mail von all-inkl mit der Ankündigung, dass u.A. mein Account aus Performancegründen auf einen anderen Server umgezogen wird.

Das heißt also, dass meine Seiten in der kommenden Nacht zeitweise nicht erreichbar sein werden, und dass es danach möglicherweise zu Einschränkungen kommen könnte.

Hallo Herr Bloch,

der Server auf dem Ihr Account liegt hatte in letzter Zeit gehäuft Überlastungen. Aus diesem Grund werden wir einige Kunden in der kommenden Nacht auf stärkere Server umziehen, um dadurch die Überlastung auszugleichen. Unter anderem führen wir auch bei Ihrem Account einen Serverumzug durch.

Alle Daten (FTP, MySQL, KAS-Einstellungen etc.) bleiben dabei erhalten. Der Serverumzug findet nachts zwischen 1-7 Uhr statt und Ihre Webseite(n) sind ca. 2 Stunden nicht erreichbar.

Bitte beachten Sie generell, dass ein Umzug auf einen anderen Server in einigen Fällen auch eine Anpassung Ihrer Seiten erfordert. Prüfen Sie daher im Anschluss bitte selbst die Funktionalität.