Der Reihe nach: am vergangenen Freitag habe ich die WordPress-Installtionen auf meinem Server, es sind derer drei, auf Version 3.4.2 aktualisiert. Dazu habe ich, wie ich es immer mache, nur das Upgrade-Pack mit den geänderten Dateien von wpde.org per FTP hochgeladen. In der Nacht zum Samstag kamen dann Mails von den Google Webmaster-Tools, dass meine Blogs als attackierend eingestuft worden sind. Es wurde Malware gefunden, und ein entsprechender Warnhinweis vor die Blogs geschaltet.
Mein erster Gedanke: Das Upgrade-Pack muss infiziert gewesen sein! Also habe ich die Version von de.wordpress.org geladen und auf den Server geschoben. Ohne Erfolg…
Also habe ich die Blogs erst mal in den Wartungsmodus gesetzt, damit ein 503er Status zurück gegeben wird, und die Suchmaschinen die Seiten erst mal nicht durchsuchen. So konnten wenigstens die die infizierten Dateien nicht finden. Dann ging die Suche los: Plugins deaktivieren, Theme auf default setzen, und häppchenweise wieder zurück schalten. Ich bekam aber bei mehreren Plugins und im Theme meines Hauptblogs Fehlermeldungen.
Ich fand nach deren Aktivierung im Headbereich der ausgelieferten Seite ein Javascript, welches definitiv nicht von mir war und dort nicht hingehörte. Das Script hatte die Aufgabe, im nicht sichtbaren Bereich der Seiten einen iFrame einzufügen, und in diesem eine PHP-Datei von einem russischen Server laden. Nur durch den Einsatz von „NoScript” ist das bei mir nicht passiert.
Parteifreunde erzählten dann von einem Exploit im FTP-Server meines Hosters, für den es noch keinen Fix gebe. Also nahm ich Kontakt mit dem Hoster auf, und durfte mir dann anhören, dass der Server sicher und mein lokaler Rechner ne Virenschleuder sein müsse, außerdem sei ich schlampig mit meinem FTP-Passwort umgegangen… :motz:
Das FTP-Passwort hatte ich eh bereits geändert, trotzdem hatte ich kurz nach dem erneuten Upload der Dateien wieder Mail-Warnungen von Google im Postfach. Erst nachdem ich alle Daten vom Server gelöscht, meinen Rechner mit ClamAV gecheckt und die Daten dann neu hochgeladen habe, hatte ich Ruhe. Bei mir wurde erwartungsgemäß kein Virus oder Trojaner gefunden, und inzwischen geben auch die Google Webmaster-Tools wieder an, dass keine Malware auf den Seiten vorhanden ist. Die Warnung im Browser sind dementsprechend auch verschwunden, meine Blogs gehören wieder mir. :clap: