Der GEMA Virus und WordPress – Was man dagegen tun kann

GEMA Virus im WordPress Footer GEMA Virus im WordPress Footer

Der GEMA Virus hatte leider alle meine WordPress Blogs infiziert. Die vergangenen drei Tage war ich mit der Suche des Schadcodes und der Bereinigung meiner WordPress-Installationen beschäftigt. Die Infektion habe ich leider zu spät entdeckt. Tanja hatte mich per Mail zwar darauf aufmerksam gemacht, dass mein Blog ein Überträger sein kann, aber zu dem Zeitpunkt konnte ich leider nichts feststellen. Ich hatte nicht intensiv genug geprüft – mein Fehler. Erst als mir Google Chrome eine Warnung vor dem Besuch meines eigenen Blogs anzeigte, wurde ich wach.

An der Stelle möchte ich mich bei allen, die sich hier den Virus auf ihrem Windowsrechner eingefangen haben, entschuldigen. Es tut mir aufrichtig leid.

Wie stelle ich eine Infektion meiner WordPress-Installation fest?

Bei dem Code handelt es sich um einen verschlüsselten 64bit Code. Er nistet sich in der footer.php ein. Wie er aussieht, sieht du in folgendem Screenshot.

GEMA Virus im WordPress Footer

GEMA Virus im WordPress Footer

Einfach einen Rechtsklick auf dem Blog ausführen und den Quellcode anzeigen lassen. Am Ende ist dann der Code zu sehen. Besser ist es, die Datei footer.php in einem Editor zu öffnen. Dort befindet sich der Code vor dem abschließenden Body-Tag.

Wie finde ich das Schadscript in meiner Installation?

Das Auffinden des Schadscriptes ist sehr aufwendig. Sind auf einem Webspace mehrere WordPress-Installationen, so könnte es sich in allen verbergen. In meinem Fall waren es 9 Blogs, die es zu prüfen galt. In allen footer.php war der 64bit Code zu finden. Das eigentliche Script, welches die Footer mit dem Code versorgt, war allerdings nicht so leicht zu entdecken. Ein Vergleich meiner Backups zeigte mir, dass sich in einem Theme-Verzeichnis eine Template.php befand, die dort nicht sein sollte. Sie fiel mir auch durch die Großschreibung schon auf, da dies doch ungewöhnlich ist.

Im Editor zeigte sich dann, dass es sich tatsächlich um das Schadscript handelte. Es bestand rein aus einem 64bit Code. Ein weitere Datei fand ich in einer anderen Blog-Installation. Hier war eine verdächtige thumbs.db innerhalb des Theme-Unterordners “Images”. Diese habe ich 1 Tag später ebenfalls gelöscht, da nach der ersten Bereinigung die Blogs wieder den Schadcode im Footer hatten.

Die Ursache für den Infekt

Als Ursache für den Infekt meiner Blogs vermute ich in einer veralteten timthumb.php. Diesem Blog hatte ich vor etwa 3 Monaten eine neues Theme gegönnt. Ein ähnliches setzte ich bereits auf einem anderen Blog ein und war dort sehr zufrieden damit. Leider verwendeten beide eine veraltetes Timthumb-Script. Wie ich mittlerweile weiß, ist gerade dieses Script ein offenes Scheunentor für ungebetene Gäste. Hier gebe ich den Tipp, die eigenen Themeordner danach zu durchforsten. Sollte eine veraltete Version darin befindlich sein, dann unbedingt gegen die aktuellste Version tauschen. Selbst war ich noch drastischer – ich habe gleich auf ein Theme ohne timthumb.php gewechselt. Auf Spielchen lasse ich mich nur noch sehr ungern ein.

Maßnahmen im Falle eines Befalls

  • Im ersten Schritt alle Passwörter ändern – Datenbank, WordPress und FTP
  • Schadscript finden und löschen
  • footer.php bereinigen
  • Notfalls ein frisches WordPress installieren
  • Gegebenenfalls ein neues Theme (in Hinblick auf Timthumb)
  • Absichern aller sensiblen Verzeichnisse per .htaccess

Empfohlene Plugins zur Absicherung von WordPress

Anbei noch einige Plugins die deine WordPress-Installation sicherer machen. Ich verwende sie nun auf allen Blogs, was ich bis zu dem Virusbefall leider nicht tat.

Zusammenfassung

Eines habe ich die vergangenen Tage gelernt. Auch für einen gemeinsamen Webspace gilt: “Eine Kette ist nur so stark, wie ihr schwächstes Glied.” Dieses Blog hier ist sehr gut gegen Angriffe geschützt. Alle anderen Blogs, welche sich ebenfalls im selben Webspace befinden, jedoch nicht. Das war ein unverzeihlicher Fehler. Für die Zukunft bedeutet dies für mich, dass ich jedes noch so kleine Projekt behandele wie auch dieses hier. Selbst wenn nur der berühmte “Hallo Welt” Beitrag auf dem Blog zu sehen ist.

Und abschließend noch der Hinweis zur neuen Domain von Horst. Er war leider auch von dem Schadscript betroffen und hat seine Domains aufgegeben. Dank einiger Unterstützung, vor allem durch Marc – Daumen hoch -, ist er glücklicherweise wieder mit seinem Blog online. Du findest ihn nun auf Querblog.com.

Zum Thema Gema Virus verweise ich auch gerne noch auf Tanjas Beitrag – Gema Virus im WordPress Blog – eine Gefahr für Blogger und Leser? Ich hoffe Tanjas Vermutung einer “WordPress Virus Welle” wird nie zutreffen. Da würden einige gute Blogs auf der Strecke bleiben.

Über Majeres

Hallo lieber Besucher, hier bloggt Andreas, stolzer Saarländer, passionierter Motorradfahrer und Hobbyfotograf. +Andreas Majeres Kontakt: Facebook | Twitter | Google+ | YouTube | Weitere Artikel

15 Kommentare zu Der GEMA Virus und WordPress – Was man dagegen tun kann

  1. Hat den Schadcode eigentlich mal jemand decodiert? Würde mich brennend interessieren was dort stand.

  2. Majeres // 1. April 2012 um 09:53 //

    @Carsten: Keine Ahnung, habe auch noch nicht danach gesucht. Selbst habe ich es gar nicht erst versucht.

  3. Eieiei. Bin froh dass hier nun wieder alles sauber ist, aber dennoch nervt so etwas ungemein. Muss mal schaun, wie ich all meine Blogs untersuchen kann.
    Schade, dass einem so immer mal wieder die Lust am bloggen genommen wird, aber hauptsache man hört nicht auf und kämpft sich zurück. :)
    Beste Grüße, angenehmen Sonntag
    Alex

  4. Hast du den Code noch? Würde ihn gerne mal decodieren und gucken was er macht.

  5. Na, da bist du ja noch mal mit einem blauen Auge davon gekommen. Aus deiner und Horst Misere habe ich gelernt nur noch das theme welches auch aktiv ist auf dem Webspace zu belassen. Bei den Plugins gibt es auch keine inaktiven mehr.

    Und jetzt werde ich mir mal die Plugins anschauen die du hier empfiehlst.

    Schönen Sonntag!

  6. Ich habe so was ähnliches bei mir. Auch bei mir ist die timthumb.php zerschossen und ein FDP.Rettungsschirm Virus der Piratenpartei hat sich dort eingenistet. Liest sich aber Gott sei Dank, mit ähnlicher Methode entfernen wie Du es beschrieben hast. Puha, Glück gehabt :roll:

    LG und schönen Restsonntag – Gerd

  7. Na zum Glück hast Du es nun doch relativ flott in den Griff bekommen!
    Extrem ekelig, wie eine Sicherheitslücke in einem Script sich auf den kompletten Webspace auswirken kann…
    Ich selbst hatte die timthumb.php zum Glück noch nie im Einsatz.

    Muss mir mal was überlegen, wie man halbwegs automatisch geänderte Dateien auf dem Webspace zeitnah erkennen kann!

  8. Majeres // 1. April 2012 um 15:14 //

    @Alex: Nerven ist gar kein Ausdruck. Meine Nerven lagen blank, da ich den Übeltäter nicht auf Anhieb ausmachen konnte. Ich hatte schon Lust hinzuschmeißen. :-(

    @Carsten: Ne, ich habe den nicht mehr. Das Script hatte ich gleich per FTP gelöscht und gar nicht erst auf der Platte gespeichert.

    @Luigi: Die Plugins kann ich echt nur empfehlen. Sie machen das Blog ein gutes Stück sicherer.

    @Gerd: Das Script scheint wirklich nicht zu den Glanzstücken der Entwickler zu zählen. Ist aber schön zu lesen, dass Du es in den Griff bekommen hattest. :-)

    @Marc: Die vergangenen 3 Tage sind mir ewig vorgekommen. Ich hätte das auch nicht erwartet, da ich durch das gehackte Promiblog ja ein gebranntes Kind bin. Aber wer rechnet schon mit einer Sicherheitslücke in einem Script.

    Wenn Du ein Lösung gefunden hast, nur her damit. Ich wüsste keine. :-(

  9. Hast du aber nicht, Andreas… und das ist die Hauptsache!!!
    Angenehmen Sonntagabend und beste Grüße,

    Alex

  10. Andreas danke dir für coole Infos! Habe vor paar Tagen einen Gema Virus gefangen! Musste BS Wiederherstellen, weil wenn Gema läft, kann man echt nichts machen! Die Augen sind sozusagen zu! Danke nochmal….

  11. Wow, höre davon gerade zum ersten mal und bin schon ein wenig verblüfft. Werde gleich mal einen Check heute Abend machen. Vielen Dank für den informativen Beitrag!

  12. Majeres // 2. April 2012 um 15:21 //

    @Alex: Ne, habe ich zum Glück nicht, aber leider einfach zu spät richtig reagiert. :-(

    @Richard: Das sit sehr ärgerlich. Ich selbst kann nicht mitreden, da der Mac davon verschont blieb.

    @Skatze: Tu das, lieber auf Nummer sicher gehen.

  13. Wie hat sich der Virus denn bei dir bemerkbar gemacht? Bzw. hätte man es merken können, selbst wenn du nicht drauf aufmerksam gemacht worden wärest?

  14. @Skatze: Der hat doch Mac! Da merkt man nicht so schnell! Die Windows User merken sowas :)

  15. Majeres // 3. April 2012 um 15:37 //

    @Skatze: Bei mir hat er sich nicht bemerkbar gemacht. Wie @Richard schon angemerkt hat, arbeite ich auf einem Mac. Da greift der Virus nicht.

    Aufgefallen ist mir allerdings gestern in den Webmastertools, dass die Performance der Seite schlechter war, obwohl ich keine Änderungen durchgeführt hatte. Die längere Ladezeit kommt wahrscheinlich durch den zusätzlichen Code im Footer, den das Schadscript dort eingefügt hatte.

2 Trackbacks & Pingbacks

  1. Zusammenfassung : GEMA Virus vs. WordPress Installation » Delijo
  2. Broken Spirits | Wordpress Sicherheit erhöhen

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.

*