Virenalarm auf internet-law
Liebe Leser meines Blogs,
im Laufe des Tages haben sich die Hinweise darauf verdichtet, dass über mein Blog Schadsoftware verbreitet wurde, weshalb ich das Blog am Nachmittag vorübergehend vom Netz genommen habe.
Die anschließende Analyse hat ergeben, dass in die Datei header.php des WordPress-Themes PHP-Code eingeschleust worden ist, der da nicht hingehört. Dieser Code hat, wenn das Betriebssystem des Besuchers Windows war, zu einem Verbindungsaufbau mit einem externen Server (feedjs.com) geführt. Von dort aus wurde ein Script ausgeführt, das verschiedene Trojaner bzw. Viren auf die Festplatte des Besuchers geladen hat. Das perfide an diesem Konzept ist, dass ein Virus-Scan des Servers von internet-law immer ergebnislos verlaufen ist, weshalb ich zunächst von falschem Alarm ausgegangen bin. Ob sich der Hack gezielt gegen mich bzw. mein Blog gerichtet hat, ist bislang nicht klar.
Wenn Sie dieses Blog in den letzten Tagen besucht haben und auf einem Windows-Betriebssystem unterwegs waren, besteht die Gefahr, dass Ihr Rechner infiziert wurde. Bitte prüfen Sie deshalb unbedingt Ihren Computer auf Schadsoftware.
http://support.kaspersky.com/de/faq/?qid=207621612
Hier gibts die Kaspersky notfall CD die zu nutzen dringend geraten ist. Kompromittierte Systeme müssen Viren nicht finden vom Scanner unabhängig.
Comment by Klischeepunk — 28.02, 2012 @ 20:17
Schon klar wie der Code in den Header gekommen ist? Klingt ja gruselig.
Comment by Sebastian Koch — 28.02, 2012 @ 20:19
Na man gut das ich Nachladen Externer Inhalte grundsätzlich nen Riegel vorschiebe. Denke darum hab ich auch keine Warnung erhalten^^
Lg Jojo
Comment by jojo — 28.02, 2012 @ 20:33
selber schuld, wer keinen java-script-filter hat… selektiv für einige wenige vertrauenswürdige sites freigeben, alles andere erstmal komplett abschalten (noscript, meines wissens nach nur firefox, kann auch schon portiert worden sein..).
Comment by m.f. — 28.02, 2012 @ 20:40
ein bisschen mehr an info wäre schon nicht schlecht. welche „verschiedene(n) Trojaner bzw. Viren“ hat Ihr server denn nun und seit wann / wie lange schon verteilt ? gibt es FixIts dafür ? (es wäre auch zumindest … höflich, wenn Sie Ihrem bedauern über diesen überaus peinlichen vorfall ausdruck geben könnten.) nachdem hier – https://plus.google.com/109145044990904699816/posts – bereits gestern abend sich die hinweise verdichteten, wäre es verantwortungsvoll gewesen, nicht noch bis zum folgenden nachmittag abzuwarten, ob es denn nicht vielleicht bitte doch nur ein fehlalarm war … epic fail.
bg
Comment by bilgehz — 28.02, 2012 @ 21:02
lol, wie heisst es immer wieder?
Mit linux wär das nicht passiert.
Ich bin seit jahren der meinung das wer mit was anderem als linux im web unterwegs ist fahrlässig handelt.
Comment by yah bluez — 28.02, 2012 @ 21:26
Was für ein übler Mist! Bitter… Wenn du dahinter kommst, wie das passiert ist (die richtigen Leute kensst du ja) lass uns bitte an den Erkenntnissen teil haben. Auf dass wir ggf. Gegenmaßnahmen ergreifen können.
*grusel*
Comment by daMax — 28.02, 2012 @ 21:29
@bilgehz:
Welche Viren es waren, kann ich auch nur den Schilderungen einzelner Nutzer entnehmen. Eigene Erkenntnisse dazu habe ich nicht. Es dürfte irgendwann am Wochenende losgegangen sein.
Mir ist das natürlich äußerst unangenehm, aber man fühlt sich als jemand, der so ein Blog nebenher betreibt auch etwas überfordert mit der Situation. Ich habe weder das technische Wissen noch an einem Arbeitstag unbegrenzt Zeit, mich mit dem Thema zu beschäftigen und musste erst mal jemanden fragen, der wirklich Ahnung hat.
Ich gebe auch zu, dass ich es zuerst für falschen Alarm gehalten habe, weil ich gestern Abend – allerdings auf einem Mac – nichts wirklich nachvollziehen konnte.
Die Konsequenz ist dann doch nur die, dass man mit dem Bloggen aufhört, weil man das Risiko, von kriminellen Hackern missbraucht zu werden, nicht in Kauf nehmen möchte.
Comment by Stadler — 28.02, 2012 @ 21:50
Letzteres würde ich zutiefst bedauern. Das hier ist einer der sehr wenigen IT-Recht-Blogs, der aktuellen, „eigenen“ und fundierten Content enthält. Die allermeisten erschöpfen sich im Weiterverbreiten oder allenfalls inhaltsleeren Kommentieren von mehr oder weniger aktuellen Urteilen/Pressemitteilen/Meldungen aus anderen Blogs.
Comment by No — 28.02, 2012 @ 22:06
Wie war das noch gleich mit dem Bayern-Troyaner …?
[Hatten Sie in der letzten Zeit den Eindruck in ihrem Haus/Büro seien Veränderungen zu beobachten deren Ursache Sie sich nicht so recht erklären konnten? Waren Sie möglicheweise mit dem Flugzeug unterwegs?]
Comment by wvs — 28.02, 2012 @ 22:11
Ich hatte den Virus Sonntag Nacht auf Internet-law bemerkt, inzwischen hab ich ihn vereinzelt auch bei anderen Webseiten gefunden
Der Virustransfer begann damit, dass der Server von Internet-law eine PDF.Datei von ca 3,5 KB Größe ungefragt auslieferte. Darin ist Schadcode in Form von komprimiertem Javascript eingebettet. Genaueres zu diesem Typ Virus siehe bei Heise:
http://www.heise.de/security/artikel/Tatort-Internet-PDF-mit-Zeitbombe-1036564.html
Wichtig war hier, dass ich Javascript im PDF-Reader verboten hatte: Der Reader hielt an und fargte: „Javascript ausführen?“
Javascript nur im Browser zu verbieten hätte hier nichts genützt.
Comment by HeHoe — 28.02, 2012 @ 22:48
Klingt so als sei einfach eine Sicherheitslücke des WordPress CMS ausgenutzt worden. Dazu passt auch, dass in letzter Zeit immer mal darüber zu lesen war, dass gerade manche Themes Sicherheitslücken enthalten/aufreißen. Um dem zu begegnen reicht es fast immer jeweils die aktuelle Version zu benutzen. Wurde da denn etwas aktualisiert? Wenn nur die php bereinigt wurde, dann kann das Problem natürlich jederzeit wieder auftauchen.
Das das System eines Besuchers so infiziert wurde halte ich aber für unwahrscheinlich, zumindest wenn aktuelle Versionen des Browsers benutzt wurden. Nutzer von Firefox 10.0.2 und dergleichen, brauchen sich wohl keine Gedanken zu machen. Dafür sind derzeit keine solchen Anfälligkeiten bekannt.
Comment by RC — 28.02, 2012 @ 22:50
Auffällig ist, dass der Aufruf von
track.blogcounter.de/log.php?id=pavement
nun fehlt. Das Teil war mir schon vor Monaten einmal aufgefallen, weil es seltsame Sachen macht. Hat das was damit zu tun?
Comment by Ein Mensch — 28.02, 2012 @ 23:04
Kann es sein, dass der Virus schon Sonnabend (25.02.12) früh da war?
Mein PC machte Sonnabend früh gerundlos die Mücke.
Bin auf meine anderen Computer umgestiegen.
Wir suchen die Ursache. Haben es nicht eilig.
Comment by Rolf Schälike — 28.02, 2012 @ 23:18
WordPress-Installationen sind immer wieder Ziel von Angriffen. Die Kriminellen versuchen in Standard-Verzeichnisse einzudringen und legen dort dann kurze Scripte ab, oft verschleiert bzw. codiert. Eine gezielten Angriff halte ich für unwahrscheinlich. Finden und löschen – hier: http://lambandbyte.wordpress.com/2012/02/08/wordpress-website-wegen-virus-gesperrt-retten-und-entfernen/
Im schlimmsten Fall löscht der Hoster selbst wg. Malware.
Comment by Frank — 28.02, 2012 @ 23:28
Da wäre jetzt – insbesondere in einem Juristen-Blog – interessant, wer hier die Haftung für eventuelle Schäden trägt.
Comment by Andi — 28.02, 2012 @ 23:31
Am 25.2. war hier lt. Google Cache noch eine 3.2.1-Version installiert. Mittlerweile scheint WordPress aktuell zu sein. Haben Sie in der Zwischenzeit WordPress aktualisiert und wenn ja, warum teilen Sie das nicht mit?
Comment by Chef — 29.02, 2012 @ 00:05
Kann das sein? Ich habe mir anscheinend mehrere dieser Viren eingefangen, obwohl ich unter Windows mit tagesaktuellen Updates, aktuellem avast und aktuellem Firefox mit NoScript unterwegs war… Und einer davon ein Remote-Control-Virus, sodass ich jetzt von Ubuntu aus alle Passwörter ändern darf!
Comment by Koch — 29.02, 2012 @ 01:56
Das dürfte den Virenalarm im AStA heute morgen erklären… Ich erinnere mich noch auf dem betroffenen Rechner nichts auffälliges gesehen zu haben, nur einen Firefox mit geöffneter Internet-Law.de-Seite..
Comment by cg909 — 29.02, 2012 @ 04:05
Hatte diverse Meldungen TR/Sirefef.BP.1, hab es lieber alles platt gemacht und neu aufgesetzt.
Kann aber nicht sicher sagen, ob es von hier war.
Comment by luDa — 29.02, 2012 @ 07:16
Das ist alles noch etwas unpräzise.
Welche Lücke war denn nun das Ziel auf den Clients? Nur die Scripts im Adobe-Acrobat-Plugin für Firefox, wie 11. nahelegt? Sind auch andere PDF-Reader betroffen? Und nur als Plugins? Oder auch Standalone? Chrome PDF Viewer?
Comment by twex — 29.02, 2012 @ 08:49
Interessant für die Zukunft wäre, ob urlvoid.com das Javascript in der header.php als Exploit/Virus/Malware erkennt.
Comment by _nico — 29.02, 2012 @ 08:52
@_nico:
Ich bin kein Techniker, aber es war kein Java-Script bei mir im Header. Ich habe mir den Ablauf so erklären lassen:
1. Betroffen waren Firefox und IE unter Windows (Browserkennung wurde ausgewertet).
2. Es wurde zunächst die ServerIP (internet-law.de), die RefererIP (des Benutzers) und die Browserkennung (Useragent) an SERVER 1 übertragen.
3. SERVER 1 hat dann einen Link zu SERVER 2 in den Header meines WP-Themes eingebaut.
4. SERVER2 hat schließlich die Schadsoftware verbreitet wobei davon auszugehen ist, dass jeweils verschiedene URLs (und damit verschiedene Trojaner) ausgeliefert wurden.
Zu weiteren Fragen:
Ich hatte tatsächlich zunächst noch die ältere WP-Version laufen und habe erst gestern upgedatet.
Es kann durchaus sein, dass das Problem seit Samstag besteht. Ich war übers WE unterwegs und haben zu ersten Mal am Montag erste Hinweise gesehen, die dann immer mehr wurden.
Habe jetzt erst mal die Konsequenz gezogen, mittels eines Plugins nur noch drei Enloggversuche zuzulassen, um Brute Force Attacken zu unterbinden. Denn WP lässt ja standardmäßig offenbar beliebig viele Fehlversuche zu. Außerdem werde ich in Zukunft immer sofort updaten.
Comment by Stadler — 29.02, 2012 @ 09:12
Lieber Herr Stadler,
es tut mir Leid, dass sie gerade so viel Ärger mit Ihrem Blog haben und hoffe, dass die größten Probleme behoben sind.
Ich schätze Ihr Blog ebenso wie “No“ und möchte Sie ermuntern, das Bloggen nicht wegen solcher Idioten aufzugeben, die es nur darauf anlegen, anderen zu schaden.
Nehmen Sie es nicht zu schwer und machen Sie einfach mal ein paar Tage Blogpause.
Mit den besten Grüßen
Ihr Leser Duke
Comment by Duke — 29.02, 2012 @ 09:18
Restrisiko!
Lieber Herr Stadler, tapfer sein. Wir wollen doch, dass einer brühwarm über Ermittlungen gegen, äh über FB berichtet.
Comment by Wohlinformierte Kreise — 29.02, 2012 @ 09:37
Auch wir hatten kürzlich mit einer SQL-Injection zu tun, die php-Code auf im WordPress einschleuste. Bei uns war es allerdings zurückzuführen auf einen Lücke im Plugin „Mobile Detector“.
Ist wahrscheinlich ein anderer Fehler, aber vielleicht findet sich bei dem auch der ein oder andere wieder. Wir haben eine kurze (nicht ganz so technische) Analyse geschrieben: http://www.collaborativerockers.de/2012/02/collaborativerockers-de-infiltriert/
Unser Admin hat dann noch einmal nachgelegt und aus seiner Sicht die technischen Details erläutert: http://blog.royal-scripts.de/collaborativeRockers-unter-beschuss
Comment by Matthias — 29.02, 2012 @ 09:37
@Stadler
Mit dem Bloggen aufzuhören wäre exakt die falsche Reaktion, denn mit dieser Logik könnte man das ganze Internet durch angesetzte Hacker ausschalten.
Es gibt keine sichere Seiten, es wurden nur noch nie alle Seiten gehackt weil der Aufwand zu groß wäre bei der Menge.
> „Die Konsequenz ist dann doch nur die, dass man mit dem Bloggen aufhört, weil man das Risiko, von kriminellen Hackern missbraucht zu werden, nicht in Kauf nehmen möchte.“
Das würde allen in die Hand spielen, die gegen diesen Blog wären: Man braucht nur noch einmal einen Hacker ansetzen und weg ist er. So kann man auch kritische Stimmen mundtot machen, wenn zum Totklagen keine Angriffspunkte vorhanden sind.
Als Sony gehackt wurde, hatte ich dringend davon abgeraten, die Seitenbetreiber mit Konsequenzen haftbar zu machen. Warum? Das sieht man hier, weil es mit akzeptablem Aufwand unmöglich ist, eine Seite hackerdicht zu bekommen. Man kann nur grobe Fehler vermeiden aber es ist wie bei der 80/20-Regel: Die letzten 20% Sicherheit kosten 80% Aufwand.
Ich gehe sogar zu der Meinung, dass die letzten 2% Sicherheit 80% Aufwand bedeuten, wobei man 100% nie erreichen wird, weil man bei unbekannten Lücken immer nur reagieren kann.
Darum nochmal meine Aussage: Finger weg von Haftungen für Seitenbetrieber die gehackt wurden!
Das geht genau gegen die Seitenbetreiber und Nutzer, aber nie gegen die Hacker. Im Gegenteil, das wird dann zum sportlichen Tontaubenschießen mutieren.
> „Ich gebe auch zu, dass ich es zuerst für falschen Alarm gehalten habe, weil ich gestern Abend – allerdings auf einem Mac – nichts wirklich nachvollziehen konnte.“
Und mein Virenalarm schlug nicht an, weil ich fremde Scripte blocke und nachladen fremder Inhalte sowieso. MAC-User leben sowieso in einer „behüteten“ Traumwelt, habe ich feststellen müssen. Was sie nicht sehen, gibt es nicht, kann ich aus Kundenerfahrung sagen. Dass ihre MACwelt mit Viren verseucht ist und sie die Viren auf die eigene Webseite laden (Active-Script), wissen sie oft nicht, weil manche MAC-User gar keinen Virenscanner auf ihrem System haben, da MACs sowieso „nie“ von Viren und Trojanern angegriffen werden. Folglich sehen sie keine Viren, obwohl diese sogar per Email versendet werden und sich hier und da einnisten.
Es reicht dann z.B., irgendwelche HTML-Dateien die zum Beispiel zum Theme gehören, auf die Seite hochzuladen. Nicht zuvfälligerweise befindet sich im Header dann ein winziger Script-Eintrag, der z.B. Base64 codiert ist und automatisch startet weil er ja im Header ist und Dateien von woanders nachlädt.
Es reicht aber auch schon aus, wenn irgendeine verseuchte Datei auf die Seite gelangt, denn der Hacker kann sie dann durch direkte Verlinkung starten und schwupps, gibt es neue Besucher auf der Seite.
Aber erklär mal eingeschfleischten MAC-Usern, dass ihr System verseucht ist und alles andere verseucht, aber selbst nicht krank wird davon.
Übrigens darf man froh sein, wenn nur z.B. eine Spam-Schleuder installiert wurde. Ich fand mal das Bild eines Hackers (asiatischer Herkunft wohl) und wenn Hacker Bilder hochladen können, könnten sie für in „KP-Bilderbesitzergehörenallekastriert“-Ländern wohnende Seitenbetreiber ganz erhebliche Nachteile mit sich bringen. DAS wäre dann ein echtes Problem, Hausdurchsuchung, IT-Beschlagnahmung (auch beim Hoster), Staatsanwalt, Rufschädigung, Anwaltskosten, usw.
Während der Hacker breit grinsend vor dem Monitor hockt, wenn er die Pressemeldungen liest.
Aber es könnte schlimmer kommen, wenn ein Hacker Warez-Zeugs auf die Seite lädt und überall verlinkt wo die „Industrie“ horcht… und ACTA bereits durch ist.
Aber mit der Gefahr leben wir alle im Internet und beweisen können wir nichts weil die Datenschützer die Logfiles verboten haben, wegen IP und so.
Trotzdem, aufzugeben ist der falsche Weg.
„Jetzt erst recht!“ sollte es heißen.
Comment by Frank — 29.02, 2012 @ 10:05
@RC
> „Klingt so als sei einfach eine Sicherheitslücke des WordPress CMS ausgenutzt worden.“
Nicht das CMS WordPress ist unsicher, meistens sind es die Plugins und Themes mit hundert schlecht programmierten Funktionen.
Und wer fremden Code bei sich laufen lässt (z.B. aktive Werbung), der muss auch damit rechnen, dass mal die Werbelieferanten verseucht sind und somit die eigene Seite als Wirt benützen. Bei aktiven Countern wäre das sicher auch möglich, denn es wird ja die fremde Seite eingeklinkt, die den Schadcode enthalten könnte.
Comment by Frank — 29.02, 2012 @ 10:12
@Schälike
> „Kann es sein, dass der Virus schon Sonnabend (25.02.12) früh da war?“
Die meisten Hackerangriffe finden am Wochenende statt, weil da oft niemand da ist der kontrolliert. Meistens wird ab Freitag späten Nachmittag oder Abend angegriffen, oder gleich Samstag früh. Seltener am Sonntag, weil die Hacker die Zeit bis Montag nutzen, denn Montags wird es meistens erkannt.
Sollte man ein ausführliches Logfile oder ein detailliertes Seitentracking haben, obwohl der Datenschutz dagegen ist, könnte man das sehr gut nachvollziehen, wann der Hacker kam, wo er überall angegriffen hat und vielleicht mit welche Methode und von wo überall die Angriffe her kamen (Stichworte IP, Botnetz).
Aber dank Datenschutz (an falscher Stelle) wissen wir das ja alles nicht und sind blind :-)
Comment by Frank — 29.02, 2012 @ 10:19
Malicious Exploit Kit Website 4 wurde von Norton sofort geblockt
f.feedjs.com
Comment by R. — 29.02, 2012 @ 10:27
das war meine Ip-Adresse die ich oben hingeschrieben habe sorry :-)
Vielleicht könnten Sie die löschen
Comment by R. — 29.02, 2012 @ 10:39
Ich bin täglich hier, aber mein Virenscanner (Kaspersky) hat nie Alarm geschlagen.
Bin ich, wenn ich Opera als Browser und das PDF-Plugin von Foxit PDF nutze, denn überhaupt betroffen?
Comment by Thorsten — 29.02, 2012 @ 11:27
Existiert die Lücke nur, wenn man das Adobe-PDF-Plugin nutzt? Ich nutze Opera mit FoxitPDF und mein Virenscanner hat nie Alarm geschlagen, obwohl ich täglich hier bin.
PS:
Wieso erscheint mein vorheriger Kommentar nicht?
Comment by Thorsten — 29.02, 2012 @ 12:03
Existiert die Lücke nur, wenn man das Adobe-PDF-Plugin nutzt? Ich nutze Opera mit FoxitPDF und mein Virenscanner hat nie Alarm geschlagen, obwohl ich täglich hier bin.
PS:
Wieso erscheint mein vorheriger Kommentar nicht? Wird als Duplikat erkannt aber nicht angezeigt …
Comment by Thorsten — 29.02, 2012 @ 12:10
@Thorsten:
Das lag dann vermutlich an Opera. Betroffen waren nur Nutzer von Firefox und IE.
Comment by Stadler — 29.02, 2012 @ 17:38
Wie sicher kann man sich sein, dass wirklich nur IE und Firefox betroffen waren? Irgendwie kommt es mir komisch vor, dass gerade Chrome und Opera aussen vor gewesen sein sollen.
Comment by voidn — 29.02, 2012 @ 18:16
Ich hatte das schon vor einiger Zeit auf dieser Seite gehabt das ich diese Seite aufgerufen habe und danach sowohl Java als auch mein Acrobat sich geöffnet haben und Mein Virenscanner sich mit Viren gemeldet hat, lies sich aber leider nicht reproduzieren, sonst hätte ich da auch sofort Alarm geschlagen…
Comment by Anno — 29.02, 2012 @ 19:48
Ich weiß gar nicht, ob ich in den letzten Tagen hier war. Aber kann nichts passiert sein
„Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:11.0) Gecko/20100101 Firefox/11.0“
:-)
Ich finde es sehr gut, daß sie, als sie das Problem erkannt haben darauf reagiert haben und es auch sofort öffentlich machen!
Comment by Tom — 1.03, 2012 @ 03:21
Wenn es hilfreich ist:
meine Firewall hat am 21.02. das erste mal angesprochen (IP beginnend mit 82. …., ab 23.02 IP beginnend 188. …)
mfg bb
Comment by bb — 2.03, 2012 @ 12:50
Kann es sein, dass Sie sich schon wieder was eingefangen haben?
Ich selber kann es nicht feststellen. Linux.
Aber ich habe einen Ihrer Links weiterverbreitet und bekam Rueckmeldung:
„Deine drittgenannte Quelle betätigt sich als Virenschleuder. Laut Avira premium Js/shellcode.AM – ein Javascript-Schädling.“
Comment by Guido — 18.12, 2012 @ 18:58
»Mit linux wär das nicht passiert.
Ich bin seit jahren der meinung das wer mit was anderem als linux im web unterwegs ist fahrlässig handelt.«
Arroganter Schwachsinn!
Linux ist auch nicht unverwundbar, der X-Server z.B. ist eine einzige Sicherheitskatastrophe.
Da jedoch die meisten User nun einmal mit Windows unterwegs sind, konzentrieren sich die Viren-Schreiber halt auf diese OS-Familie – Glück für die Nutzer anderer Betriebssysteme.
Die meisten Server im Netz hingegen sind unixoid basiert, da läuft z.B. »Apache« oder »Nginx«, und es gibt daher auch entsprechende Angriffe, Linux hin oder her.
Gegen browserbasierte Angriffe per Drive-by-Downloads sind alle gängigen Betriebssysteme verwundbar, das ist ein Riesenproblem, schon allein weil man, um z.B. auf einem Linux-System richtig Schaden anzurichten, ja nicht unbedingt Root-Rechte braucht.
Das Abschalten der Ausführung von Scripts ist zwar ansich eine gute Idee, aber viele moderne Webseiten basieren nun mal auf Scripts, leider – selbst die meisten Html5-Seiten beinhalten nach meiner Erfahrung massig Scripts, obwohl das völlig unnötig ist und dem Grundgedanken von Html5 diametral widerspricht.
Aber so ist das halt.
Ich bin übrigens mit FreeBSD unterwegs – Linux, phh, :).
Comment by Hans — 22.01, 2013 @ 11:26