Jochen hat mir per Mail diesen Screen zukommen lassen:
Es handelt sich um eine Virenwarnung von Kaspersky, wenn man auf die BasicThinking.de Seite geht, das ebenfalls auf Basis von WordPress läuft. Idee, was der Unsinn soll?
Update: Andreas hat die Lösung. War ganz einfach gehacked die Seite, daher die Warnmeldung. Die Erklärung zu dem Hack findet Ihr auf creativebriefing. Es handelt sich dabei um einen innerhalb eines iframes eingebetteten Links zu einer zweifelhaften Seite:
„iframe src=http://googlerank.info width=1 height=1 style=display:none“
Das interessante aber: Lade ich mir das gesamte Filepackage zu der Bloginstanz (nicht von der Subdomain, auf der Hauptdomain läuft auch ein WP-Blog) herunter und durchsuche es, finde ich nirgends auch nur einen Hauch einer Stelle, wo man dieses Codefragment findet. Suche nach IFrame ergab ebensowenig etwas wie die Suche nach Googlerank… Ideen?
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Junior PR Manager – B2B / B2C / Corporate Communication / Social Media (m/w/d) dot.communications GmbH in München |
||
Social Media Manager (m/w/d) Performance Marketing web-netz GmbH in Lüneburg bei Hamburg |
Habe mal spaßeshalber die Files in einen Zip-Ordner geschoben und hochgeladen (File deleted), wenn sich das jemand mal anschauen mag. Ist rund 1 MB groß. Wp-Config.php gelöscht;)
Schaut man sich die Footer.php an, so ist das Änderungsdatum abweichend von den anderen Template-Files, die ich schon seit Ewigkeiten nicht mehr angepasst habe, denke ich, muss aber nüscht heißen:
So, habe jetzt erstmal Blog stillgelegt.
Update: Habe die Datei gefunden, in der die Codeanweisung enthalten war. Poste ich noch separat;)
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Junior PR Manager – B2B / B2C / Corporate Communication / Social Media (m/w/d) dot.communications GmbH in München |
||
Social Media Manager (m/w/d) Performance Marketing web-netz GmbH in Lüneburg bei Hamburg |
||
Online Marketing Manager – Social Media / SEO / Grafikdesign / CMS (m/w/d) reputatio AG in Pforzheim |
||
Social Media Manager (m/w/d) fernao group GmbH in Köln |
||
Social Media Manager (m/w/d) Kyberg Vital GmbH in Unterhaching |
||
Social Media Manager (job for all genders) Metabowerke GmbH in Nürtingen |
||
Social Media Manager / Marketing Specialist (m/w/d) Schwerpunkt Digital, 50% Remote AVART Personal GmbH in Hamburg |
Hab’s gerade mal probiert (auch Kaspersky);
bei mir kommt keine Meldung. Seltsam.
hm, danke
Hey Robert,
Ich hatte die Meldung vor einiger Zeit auch schon bei meinem NOD32 das mich eigentlich nie enttäuscht hat.
Heute dann wieder auf BasicThinking.de
Vollständige Meldung:
ESET NOD32 Antivirus
Address has been blocked.
URL address: „verifiedlitenetwork.com/check/upd.php?t=563“
IP Address:
58.65.239.115:80
Gruß,
Bjoern
was der Unsinn soll? Nunja, manche Leute installieren sich dieses Zeug weil sie hoffen es würde sie vor Viren schützen…
Ähnlich derer, die sich Firewalls installieren weil die ja angeblich vor den pösen Häckern schützen sollen.
Eigentlich ist die Idee permanente Updates gegen für Software zu verkaufen (die eh nichts bringt weil wenn die Updates da sind, sind die Probleme bereits nichtmehr so ernst) nicht schlecht.. für diejenigen die das als Gelddruckmaschine verwenden zumindest.
Liegt es vllt an dem komischen „iframe src=http://googlerank.info/counter style=display:none“ ??
Das wird ein vervirtes Firefox Plugin sein, das beim Zugriff auf deine Website von Kaspersky erkannt wird! Das hat doch nix mit deiner Website zutun! Denke ich …
Gruß Toni
@Robert Basic: Hallo Robert, ich habe auch kein Problem mit der Seite bei mir wird sie einwandfrei Aufgebaut ohne Fehler.
Mhh…
„This JavaScript trojan downloads and executes malware from h t t p :/ /ybrvhgwuzc.biz by taking advantage of the Internet Explorer vulnerabulity presented in MS06-057 bulletin.“
http://www.bitdefender.de/VIRUS-1000112-de–trojan.js.downloader.abn.html
Das kann über drei Ecken kommen – Interessant wäre ob das auf allen deinen Seiten kommt, oder evtl. nur bei einem Beitrag.
NOD will dich immer noch sperren!!! Das Ding lügt sehr selten, prüfe mal ob du evtl. gehackt wurdest?!
FYI: http://creativebriefing.com/wordpress-hacked-googlerankinfo/
Vielleicht solltest du dein WordPress besser up-to-date halten, Robert. Oder besser gleich eine Blog-Software benutzen, die taugt 😉
sehr strange, ich habe mir alle Dateien vom Host zu dieser Bloginstanz geladen und finde nix was auf googlerank.info hindeutet, noch finde ich eine enstprechende iframe-Stelle, die diese URL anspricht. Wat denn dat?
@Andreas, danke:) Werde mal das gesamte Template löschen, die neueste WP-Version aufspielen und gut ist. Crazy: Finde partout in den Template-Files nicht mal ansatzweise irgendwelche Stellen, wo das herkommt. Auch nicht in den wp-admin Files noch in den Wp-include Files. Interessant. Lösungen wie man den Code findet?
Hallo Robert, hast du das ding den schon genauer beobachtet? Du kannst ja auf die Stats bei Kas. zugreifen und sehen wo es abgelegt ist. Ist es in Temp Dateien, dann lass es toben. Schau genau nach wo es sich befindet. Gib dann bitte Feedback.
Ich finde auch nix. Einen iFrame der was komisches nachladen will(googlerank) auch nicht. Der kompletter Headermitschnitt beim Aufruf ist hier
Da ist nix ungewöhnliches.
„Stats bei Kas. zugreifen und sehen wo es abgelegt ist“ ? Verstehe ich nicht. Was ist das?
@SteBu, es geht um die Root-Domain, nicht die Blog-Subdomain;) Einfach basicthinking.de aufrufen, dann siehst es iM Quelltext im Footer.
Schau mal beim Mitschnitt in die ersten Zeile. Ich hatte schon begriffen um was es geht 😉 und daher auch nur https://www.basicthinking.de/ aufgerufen
Moin!
Kleiner Hinweis:
Beim Upgrade auf WP 2.5(.1) das Einfügen des neuen SECRET_KEY in die wp-config.php nicht vergessen.
// Change SECRET_KEY to a unique phrase. You won’t have to remember it later,
// so make it long and complicated. You can visit http://api.wordpress.org/secret-key/1.0/
// to get a secret key generated for you, or just make something up.
define(‚SECRET_KEY‘, ‚put your unique phrase here‘); // Change this to a unique phrase.
ah, hatte in den Zeilen /blog/ gesehen, sorry:)
Normalerweise würde ich auf’ne SQL-Injektion tippen – demnach musst du in der DB danach suchen ;).
#20
Wenn auf Clientseite ein Virenscanner anschlägt, muss man es aber da(Header bzw. Quelltext) finden. Wenn etwas nur in der DB liegt und gar nicht ausgelifert kann auf Clientseite nix passieren.
Du kannst bei kaspersky bei doppelklick auf das Icon unten rechts auf die Statistik zugreifen und da mehr erfahren. Wo es abgelegt ist usw.
Schau bitte mal nach ob da was gescheites drin steht!
@Nick, dankesehr:)
@Seoptiker, ach so, na, kann ich nicht, da ich kein Kaspersky habe. Muss mal Jochen fragen.
Datenbank ist jetzt eh gelöscht, wird sowieso neu aufgesetzt.
Komm gibs endlich zu! Du erstellst Bloggerbewegungsprofile für die Telekom … 😉
Ich hatte das auch schon mal, hat sich jeweils in Blogeinträgen versteckt, also schwierig zu finden.
Problem ist nur, wenn Du das nicht loswirst, bevor Google Deine Seiten nochmal besucht, hast Du ein Problem, da sie dann in den Suchergebnissen eine Warnung von Deiner Seite anzeigen, dass Du schädliche Software distributieren würdest.
Wie man so was im vorhinein ausschließt weiß ich nicht. Ich benutze die neueste WordPress Version und hoffe auf das Bste.
Leute, soll ich endlich mal ein sicheres Blogsystem ohne Updatechaos, Digg-Fest und threaded Comments entwickeln?
Au ja, mach mal. Am besten eins was auch gleich Tee kocht, Weltfrieden stiftet und die Frage der/das Blog entgueltig klaert.
😉
Das wichtigste – es muss automatisch bei jedem Neuen Artikel – Google-Platz #1 garantieren… und am besten irgendwie auch den PR anheben – nicht dass Robert wieder abgestraft wird….
*notizen mach* Wann soll es denn fertig sein? Gestern?
Falls es noch jemand interessiert, ESET hat gerade in China eine Promotion für 90 Tage kostenfreie Smart Security 3.0 laufen die aber auch jeder bei uns in Europa in Anspruch nehmen kann.
Anleitung unter folgendem Link ( Englisch ):
http://tinyurl.com/6jmlkc
Ist die einzige ressourcenschonende Lösung, die ich uneingeschränkt empfehlen kann und 3 Monate für Lau ist vielleicht für den ein oder anderen mal ein Grund NOD32 auszuprobieren.
So so, ein Schelm, wer böses…
Diskussion eröffnet…
Basicthinking gehacked…
Robert,
kannst du den #33 löschen? Das sollte nicht sein…
[…] so gut. Das WordPress-Blog unter basicthinking.de ist komplett neu aufgesetzt (siehe Artikel), DB gelöscht, alles soweit kein Problem, war eh egal um die Inhalte, die habe ich ratzfatz […]
[…] er sich ein wenig gewundert hatte, weshalb diverse Virenscanner einen Warnhinweis beim Besuch seiner Hauptseite ausgeben, hat […]
Muss ich jetzt auch meinen PC scannen oder nicht?
Heuni
[…] Schädling als der, der Robert Bašić gerade dazu gezwungen motiviert hat, sein Blog neu […]
[…] den verschiedenen Hacks auf WordPress-Blogs, muss man sich ja Gedanken machen, wie man das Ganze verhindert (immer […]
WordPress infiziert Windows Rechner…
Deutschlands Vorzeige Alpha-Blogger Robert Basic hatte die gestern einen schwarzen Tag. Sein mit WordPress betriebenes Blog wurde durch eine Sicherheitslücke infiziert und verbreitete einen Virus, der Windows Rechner befallen konnte.
…
[…] User die noch nicht auf WordPress 2.5.1 geupdatet haben. Die eiern dann so lange rum … bis se gehackt […]
[…] Virus oder Ad-Schrott zu bombadieren. Ausführlich und detailiert schreibt er in seinen Beiträgen Blogvirus und Blogvirus = hacked II was genau passiert ist und wie er der Sache auf die Schliche gekommen […]