Webseite wird von diversen Virenscannern als schädlich erkannt
 

Hallo Zusammen,

ich möchte mich zu aller erst beim Forenteam für das Aufbauen dieser Community bedanken, hab hier schon häufig Lösungen für Probleme finden können. Für mein aktuelles Problem allerdings bislang noch nicht, weshalb ich hier jetzt schreibe und hoffe dass mir jemand helfen kann :-)

Und zwar geht es um folgendes: Ich betreibe eine Wordpress-Seite. Seit einer Weile warnen diverse Virenscanner wie AVG, F-Secure, Bitdefender etc. vor dieser Seite und behaupten, dass diese schädlich sei. Ich habe schon mit diversen Methoden versucht herauszufinden wo das Problem liegen kann, konnte aber nichts finden und bin mir meinem Latein am Ende.
Es geht um www.pulsmedien.de

Hat jemand von euch vielleicht eine Idee woran es liegen könnte und hat evtl. sogar eine Lösungsidee?

Viele Grüße
peter

Wenn ich die Seite besuche kommt diese Warnung

Anhang 60073

Ich habe grad mal den geparsten HTML Code darauf abgesucht aber nichts gefunden. Hast du eine Idee wo sich das Problem eingenistet hat?

...zur Info:
Ich habe die Seite eben aufgerufen und KEINE Warnung erhalten.
Aufruf erfolgte in "Sandboxie", aktiver Virenscanner ist avast!


Aufruf mit:
- Win8 Enterprise Evaluation (32 bit)
- Opera 16.0
- avast! vers. 8.0.1497
- mit Virenkennung vom 12.09.2013



Hast du die "Original"-Dateien noch offline verfügbar oder arbeitest du nur direkt auf dem Server?

Wenn noch offline verfügbar, könntest du doch einen direkten Vergleich mit den auf dem Server gespeicherten Dateien machen, um den Aufruf bzw. den in deiner Seite eventuell eingeschleusten schädlichen Code zu lokalisieren.

Hallo Jörg.
Info:
Ich habe eben versucht die Seite aufzurufen.
Benutze:
Oracle Virtual box
Win7 Home Premium 64 bit
Firefox 23.0.1
avast! 8.0.1497(free), Datenbanken aktuell vom 12.09.2013
bei mir erfolgt Warnung, und die Seite wird blockiert.
Grüße.

Hallo jrahe,

ich arbeite direkt auf dem Server. Bei Wordpress bietet es sich ja durch das Backend an.
Weißt du was typische Quellen sind, die solche Codes mit reinbringen?

...nein, das weiß ich leider nicht.

Ich könnte mir mehrere Varianten vorstellen:
- deine Quelltexte sind verändert worden
- der Server von Wordpress ist komprimittiert worden
- Server, auf deren Inhalte du verlinkst (z.B. Buchcover), sind komprimittiert
- ein Abfangen und Umleiten der integrierten Links

Ein Fehlalarm ist bei mehreren Scannern und einer expliziten Angabe wie im Anhang von Post #2 wohl eher auszuschließen.

Ok, vielen Dank für die Hinweise.
Weißt du zufällig wie Programme wie Bitdefender auf Malware und Schadsoftware prüft?
Prüft es in Echtzeit oder quasi per Blacklist?
Weil wenn es in Echtzeit prüft könnte ich sukzessive Dateien und Inhalte entfernen und so per Ausschlusskriterium den Schädling finden.

Nachtrag: Ich hab eben mal ein Backup gemacht und alles auf meinem XAMPP installiert, da meldet Bitdefender keine Probleme. Wenn Bitdefender nun keine Echtzeitprüfung machen sollte sondern nur mit Blacklists arbeitet, ist der Grund klar. Aber wie könnte ich das dann prüfen?

Meines Wissens prüfen alle seriösen Virenscanner mit mehreren Verfahren:
a) Daten-Basis der Überprüfung:
- per "Blacklist" (= das sind die Virendatenbanken bzw. -Kennungen, die am besten täglich zu aktualisieren sind)
- per "Heuristic" (= hier werden nach bestimmten Verhaltensauffälligkeiten Dateien schon als vermutliche Viren eingestuft, die so noch gar nicht in Datenbanken vorhanden sind.)
(...gerade dieses "heuristische" Verfahren neigt allerdings per se dazu, für "Fehlalarme" anfällig zu sein)

b) Zeitpunkt der Überprüfung:
- per "Echtzeitscanner" (z.B. permanente Kontrolle beim webschutz oder Downloaden einer Datei)
- per "manuell" oder als zeitlicher "Task" (= als "Vollscan" oder bezogen auf ausgewählte Dateien/Ordner/Partitionen)


Ich gehe davon aus, daß Bitdefender eine Echtzeitprüfung integriert hat. :)

Ja genau, wenn ich per Rechtsklick Bitdefender prüfen lasse, erkennt er keine Schadsoftware o.ä. Ich bekomme im Protokoll folgendes Ergebnis:

Nach Viren suchen:Ja
Nach Adware suchen:Ja
Nach Spyware suchen:Ja
Nach Anwendungen suchen:Ja
Nach Dialern suchen:Ja
Nach Rootkits suchen:Nein
Nach Keyloggern suchen:Ja

Allerdings zeigte der Post von Argus ja an, dass es sich auf pulsmedien.de um Malware handelt. In diesem Protokoll prüft Bitdefender allerdings garnicht auf Malware, oder passt es in eine der oberen Kategorien mit rein?

Da die Webseite auch von F-Secure als schädlich eingestuft wurde, habe ich an F-Secure eine E-Mail gesendet mit Bitte um Aufklärung, woraufhin ich nun eine Antwort erhalten habe, dass die Seite nicht schädlich ist, und aus deren Blacklist entfernt wurde...
Der Post von Argus zeigte ja aber relativ eindeutig, dass irgendwo eine Schadsoftware eingebunden sein müsste.
Ich schließe daraus, dass diese Schadsoftware also nur sporadisch ausgegeben wird. Das kann ich mir ehrlichgesagt nicht erklären... Ich finde nirgends I-Frames oder sonstige potentiell schädliche externe Links...

Nachtrag: Eine kurze Frage an Argus: Welches Antivirus bzw. Browsing Protection Programm nutzt du?

NoScript zeigt ein swtcommfickner.biz Skript an. Ich schätze das beinhaltet die Malware.
Was'n Schrott.:daumenrunter:

Ah, ich glaube das kommt dem Problem sehr nahe. Mit NoScript meinst du das NoScript AddOn für Firefox, das sämtliche <script>-Tags verbietet richtig?
Kannst du mir sagen auf welchen Seiten das vorliegt? Wie sehe ich in dem NoScript Addon, um was für eine Art Skript es sich handelt? Ich habs jetzt mal installiert, und er zeigt mir unten nur an dass bspw 3 Script-Tags verboten wurden.

Genau das meine ich.

Verstehe den Satz nicht.

Gar nicht. Jedes Skript ist potentiell schädlich.

Das schädliche Skript scheint weg zu sein, wird mir nicht mehr angezeigt. Versuch's noch mal. Vllt. ein temporarärer Angriff auf die Seite ???

Meine Frage zielte darauf ab, auf welchen Unterseiten von pulsmedien dieses Skript angezeigt wurde? Wurde es auf allen Seiten (Startseite, Aktuelles, Vorschau, kontakt etc.) oder nur auf einer speziellen angezeigt?

Ach sooo. Auf der Hauptseite. Weiter bin ich nicht gegangen.

Hallo Peter,
...hast du das aktuelle Update 3.6.1 von WordPress installiert?

Mit dem Update wurden mehrere Sicherheitslücken geschlossen.
Unter anderem das sogenannte "Link injection" (= Einschleusen von Links)
Link Heise Original-Artikel
s.a. Artikel hier auf Trojaner-Board: Wordpress-Update schließt Sicherheitslücken

DAS könnte vielleicht dein Problem verursacht haben...!? ;)

Hallo jrahe,

ja, das Update habe ich direkt nach erscheinen durchgeführt. Ich habe grad von einem Besucher noch eine E-Mail mit weiteren Informationen zum Virus erhalten, ich habe dazu das Bild von F-Secure hochgeladen das er mir schickte. Da wird "Exploit: Java/CVE-2013-2460.A" erwähnt. Diese Sicherheitslücke war im aktuellen Wordpress Update nicht enthalten.

...vielleicht kannst du bei WordPress diesen Fall schildern und nähere Infos bzw. Unterstützung für dein weiteres Vorgehen erhalten.

Wenn es sich hier um eine Sicherheitslücke in WordPress handelt, die bei diesem Update noch nicht berücksichtigt wurde, so besteht ja die Chance, daß sie noch ein weiteres Update herausbringen.

EDIT:
Der Fehler resp. die Infizierung muss ja nicht in deinen Dateien liegen, sondern kann durchaus auch im "System" WordPress oder auf deren Servern liegen.

Ok, vielen Dank für die bisherige Hilfe! Auch an die anderen Antworter. Ich denke ich bin dem Problem dadurch schon erheblich näher gekommen.

Die Wordpress Installation liegt vollständig auf meinem Webspace. Andere Webseiten die auf diesem Webspace Account liegen sind laut bitdefender & f-secure nicht vom Virus betroffen ;-)

Das spricht dafür, dass die Ursache in deinen Dateien oder denen der WordPress-Installation liegt.


Vermutung 1:
Ich vermute WordPress als Ursache, da diese ja gerade mit dem letzten Update mehrere Sicherheitslücken gefixt haben, u.a. die der "Link injektion".


Vermutung 2:
Des weiteren vermute ich keinen direkten "Exploit: Java.." in dieser WordPress Installation, sondern eher das ungewollte Ausführen fremder Links ("http://kindergardenburn.biz" im Post #2 und "swtcommfickner.biz" im Post #11), die dazu dienen, von den so aufgerufenen Servern das Java-Exploit herunterzuladen.
Somit sind bei Argus im Post #2 und bei Darklord666 im Post #11 durch z.B. NoScript diese Aufrufe zum Ausführen/Installieren der dort gespeicherten Anwendung (= Java-Exploit) verhindert worden.

Bei dem Besucher, dessen Screenshot du im Post #17 hast, ist wahrscheinlich kein NoScript als Addon installiert, so daß dieser Aufruf ausgeführt wurde. Bei ihm wurde dann der Download des Java-Exploit vom Virenscanner (F-Secure) abgeblockt.

Das könnte auch der Grund dafür sein, daß deine website als solche von F-Secure auf Nachfrage nachträglich als "nicht gefährlich" eingestuft worden ist (Post #10), da der Java-Exploit selbst nicht bei dir auf der website/Server liegt, sondern nur aufrufende Links generiert werden.

Ok. Da ich die Seite ja recht häufig aufrufe und lange Zeit nur mit Windows Standard Sicherheitstools und Avira (free), könnte ja eine Wahrscheinlichkeit bestehen, dass der Virus/die Malware sich bei mir auch runtergeladen hat. Ich habe mit dem Bitdefender einen Virencheck durchgeführt, er hat nichts bedrohliches gefunden. Besteht ein realistisches Restrisiko, dass Bitdefender sowas übersehen hat?

...ja, ein Restrisiko besteht IMMER nach jeder Reinigung, aber auch bei jedem Vollscan, daß etwas übersehen wurde.

Der von dem Besucher erwähnte "Exploit: Java/CVE-2013-2460" ist im Juni gepatched worden und greift ältere Java7-Versionen an.
Gepatched bedeutet, daß neuere Java7-Installationen/Updates ab Juli 2013 gegen diesen Exploit geschützt sein sollten.
Wie lange diese Infektion bei deiner website schon besteht, wie lange dieser Java-Exploit schon geladen wurde und ob du zu diesen Zeitpunkten ein nicht aktuelles Java7 installiert hattest, kann ich nicht sagen...

Wenn du sicher gehen möchtest, kannst du deinen Rechner hier im Forum "Plagegeister aller Art..." einmal untersuchen lassen.
(s.a.: Hinweise zur Eröffnung eines Themas)

Hierbei handelt es sich dann aber um ein "neues" Problem (= des deines "privaten" Rechners)

WICHTIG wäre natürlich nach wie vor die Ursache für die ungewollten Links/Scripte auf deiner website zu finden.

Ok, danke für den Tipp!
Ich bin bei meiner weiteren Suche auf folgenden Codepart in meinem Theme gestoßen:

Ich gehe stark davon aus, dass das der Schädling ist/war. Jetzt bleibt nur noch rauszufinden was die Backdoor war. Da hoffe ich, dass mir die Wordpress-Community mit ihrer Erfahrung weiterhelfen kann.

Viel Erfolg! :)

Bei weiteren Erkenntnissen kannst du diese hier gerne posten, so dass andere Betroffene hoffentlich auch eine "Lösung" finden können.

EDIT:
Wo kam dein Theme denn her?
Komplett selbst gestaltet oder als Vorlage heruntergeladen resp. in WordPress enthalten?
War der Code eventuell schon enthalten oder ist er später infiltriert worden?

Viel Erfolg bei der Recherche... ;)

Sorry, hab deinen Nachtrag nicht gesehen gehabt.
Mein Theme ist selbst gestaltet auf Grundlage des twentyten-Themes (wenn ich mich recht entsinne) von Wordpress.
Das heißt das HTML-Grundgerüst wurde größtenteils beibehalten und das Stylesheet wurde neu geschrieben.

Allen, die ähnliche Probleme haben, empfehle ich das Plugin "Exploit Scanner" für Wordpress. Dort muss man insbesondere auch nach der Funktion base64_decode ausschau halten. Sie wird in Wordpress nur selten im Originalzustand verwendet. Diese Funktion wird häufig verwendet um URLs im Code verschlüsselt darzustellen.

...könnte das "twentyten-Theme" von WordPress schon infiziert gewesen sein?

Dazu ist die Homepage zu lange problemlos gelaufen und ohne von Antiviren Software blockiert zu werden. Deshalb denke ich eher nicht.

So, die gute Nachricht ist heute eingetroffen: Das Virenlabor von Bitdefender bestätigte mir soeben schriftlich, dass die Homepage nun frei von Schädlingen ist.
Ich denke man kann also davon ausgehen, dass oben genannter Code der einzige Schädling war.

Ich bedanke mich sehr bei allen die mit Tipps und Hinweisen geholfen haben den Schädling zu entarnen und entfernen ;-)