Virus/Trojaner/...
1 view
Skip to first unread message
LuenTien
Sep 7, 2012, 8:53:36 AM9/7/12
to frus...@googlegroups.com
Habe heute an einem neuen Arbeitsplatz frustikus.at geöffnet und gleich dieselbe Seite wie Claudia damals bekommen.
Ich fürchte, dass sich was in den Code der Seite oder in die Datenbank eingeschlichen hat.
Leider haben die Überprüfungen vom letzten Mal nichts erkannt.
Haben diese Checks auch die Datenbank überprüft?
Jörg Linder
Sep 8, 2012, 3:24:27 PM9/8/12
to frus...@googlegroups.com
Hi,
--
Mobil 1: +43 664 331 4934
Mobil 2: +43 699 117 16 908
Skype: japhy.at
Mail: joerg....@japhy.at
ich hab mich heute schlau gemacht und ein Antivirus-Plugin für Wordpress installiert (ja, das gibt's wirklich ...).
Es hat auch angeschlagen und einige verdächtige Code-Zeilen gefunden (siehe screenshot_virusbefall_1.gif).
Ein paar Zeilen deren Funktion ich mir nicht erklären konnte hab ich gelöscht, das Ergebnis nach dem erneuten Scan seht ihr in screenshot_virusbefall_2.gif.
Es gäbe auch noch zumindest ein weiteres Plugin welches wir einsetzen könnten, allerdings brauchen wir auch dazu eine neuere Wordpress-Installation ... :/
Werd mal bei Tom nachfragen.
@Valentin kannst du die Situation nochmal nachstellen die bei dir dazu geführt hat dass du einen Virenbefall vermutet hast? (ich hoffe das war jetzt verständlich ...)
--
Sie haben diese Nachricht erhalten, weil Sie der Google Groups-Gruppe frustikus beigetreten sind.
Besuchen Sie https://groups.google.com/d/msg/frustikus/-/DI-A6gQJ33wJ, um diese Diskussion im Web anzuzeigen.
Wenn Sie Nachrichten in dieser Gruppe posten möchten, senden Sie eine E-Mail an frus...@googlegroups.com.
Wenn Sie aus dieser Gruppe austreten möchten, senden Sie eine E-Mail an frustikus+...@googlegroups.com.
Besuchen Sie die Gruppe unter http://groups.google.com/group/frustikus?hl=de, um weitere Optionen zu erhalten.
Mobil 1: +43 664 331 4934
Mobil 2: +43 699 117 16 908
Skype: japhy.at
Mail: joerg....@japhy.at
Valentin Wadl
Sep 9, 2012, 7:12:00 AM9/9/12
to frus...@googlegroups.com
@Jörg super, dass du das gleich angeschaut hast.
werd ich am MO nachstellen und hoffen, dass es behoben ist.
bin seit FR fleißig bei play:vienna dabei
wer heute noch nix vor hat, dem kann ich sehr empfehlen bei den spielen im MQ mitzumachen
<V>
tom haberfellner
Sep 11, 2012, 4:43:50 AM9/11/12
to frus...@googlegroups.com
dear joerg & valentin
- - - valentin
und gibts ne moeglichkeit, den befall bei dir (oefters) zu reproducen?
dann koennten wir uns das genauer anschauen und ausporbieren, was es war
- - - joerg
a.) die alte installation -- ich nenn sie inst0 -- die dzt auf http://frustikus.at rennt, bleibt vorerst
b.) mit dem testdrive -- inst1 -- auf http://testdrive.frustikus.at/ spielen wir so lange, bis der gut funkt, virenfrei ist und moeglichst keinen unnoetigen schrott weder in der db noch in der wordpress-installation hat
c.) dann wird inst0 zu http.//outdated.frustikus.at, inst1 zu http://frustikus.at
d.) ich mach eine kopie von inst1, die wird der neue testdrive, mit dem kann man dann wieder herumprobieren
> ich hab mich heute schlau gemacht und ein Antivirus-Plugin für Wordpress installiert (ja, das gibt's wirklich ...).
> Es hat auch angeschlagen und einige verdächtige Code-Zeilen gefunden (siehe screenshot_virusbefall_1.gif).
>
> Ein paar Zeilen deren Funktion ich mir nicht erklären konnte hab ich gelöscht, das Ergebnis nach dem erneuten Scan seht ihr in screenshot_virusbefall_2.gif.
hae? "verdaechtiger" code in den theme-templates?
wenn wirklich dort neuer code reingekommen ist dann haben wir ja den a**** offen, das hiesse ja, dass jemand admin-zugang zu dieser wordpressinstallation haette?
viel wahrscheinlicher ist imho, dass viren beim file-upload (bild) reinkommen bzw beim text-post, dh dass wir in der mysql-db suchen sollten bzw im upload-folder
ich schlage vor (das bezieht sich jetzt alles auf inst1/testdrive)
1.) wir loeschen mal alle unnoetigen files aus den theme-templates
2.) schauen jedes template haendisch an
3.) und ziehen dann -- wenn wir denken, dass die templates clean sind -- eine kopie irgendwohin lokal, um spaeter damit vergleichen zu koennen
dann kommt der upload-folder dran
4.) alle bildchen und andere medien (gibts solche?) auf viren checken
und nun die plugins
5.) alle unnoetigen deinstallieren
6.) alle noetigen updaten
und dann die mysql-db
5.) alle posts checken
6.) "unnoetige" user loeschen
7.) usw
und nun endlich sollten wir b.) erledigt haben und koennen bei c.) weitermachen
was meint ihr dazu?
a bienTom
- - - valentin
On 08.09.2012, at 21:24, Jörg Linder wrote:
> @Valentin kannst du die Situation nochmal nachstellen die bei dir dazu geführt hat dass du einen Virenbefall vermutet hast? (ich hoffe das war jetzt verständlich ...)
kannst du irgendwie den befall eingrenzen auf einen post? bzw auf eine url?
> @Valentin kannst du die Situation nochmal nachstellen die bei dir dazu geführt hat dass du einen Virenbefall vermutet hast? (ich hoffe das war jetzt verständlich ...)
und gibts ne moeglichkeit, den befall bei dir (oefters) zu reproducen?
dann koennten wir uns das genauer anschauen und ausporbieren, was es war
- - - joerg
On 08.09.2012, at 21:24, Jörg Linder wrote:
> Es gäbe auch noch zumindest ein weiteres Plugin welches wir einsetzen könnten, allerdings brauchen wir auch dazu eine neuere Wordpress-Installation ... :/
> Werd mal bei Tom nachfragen.
ich dachte mir, wir gehen mit dem testdrive folgendermassen vor
> Es gäbe auch noch zumindest ein weiteres Plugin welches wir einsetzen könnten, allerdings brauchen wir auch dazu eine neuere Wordpress-Installation ... :/
> Werd mal bei Tom nachfragen.
a.) die alte installation -- ich nenn sie inst0 -- die dzt auf http://frustikus.at rennt, bleibt vorerst
b.) mit dem testdrive -- inst1 -- auf http://testdrive.frustikus.at/ spielen wir so lange, bis der gut funkt, virenfrei ist und moeglichst keinen unnoetigen schrott weder in der db noch in der wordpress-installation hat
c.) dann wird inst0 zu http.//outdated.frustikus.at, inst1 zu http://frustikus.at
d.) ich mach eine kopie von inst1, die wird der neue testdrive, mit dem kann man dann wieder herumprobieren
> ich hab mich heute schlau gemacht und ein Antivirus-Plugin für Wordpress installiert (ja, das gibt's wirklich ...).
> Es hat auch angeschlagen und einige verdächtige Code-Zeilen gefunden (siehe screenshot_virusbefall_1.gif).
>
> Ein paar Zeilen deren Funktion ich mir nicht erklären konnte hab ich gelöscht, das Ergebnis nach dem erneuten Scan seht ihr in screenshot_virusbefall_2.gif.
wenn wirklich dort neuer code reingekommen ist dann haben wir ja den a**** offen, das hiesse ja, dass jemand admin-zugang zu dieser wordpressinstallation haette?
viel wahrscheinlicher ist imho, dass viren beim file-upload (bild) reinkommen bzw beim text-post, dh dass wir in der mysql-db suchen sollten bzw im upload-folder
ich schlage vor (das bezieht sich jetzt alles auf inst1/testdrive)
1.) wir loeschen mal alle unnoetigen files aus den theme-templates
2.) schauen jedes template haendisch an
3.) und ziehen dann -- wenn wir denken, dass die templates clean sind -- eine kopie irgendwohin lokal, um spaeter damit vergleichen zu koennen
dann kommt der upload-folder dran
4.) alle bildchen und andere medien (gibts solche?) auf viren checken
und nun die plugins
5.) alle unnoetigen deinstallieren
6.) alle noetigen updaten
und dann die mysql-db
5.) alle posts checken
6.) "unnoetige" user loeschen
7.) usw
und nun endlich sollten wir b.) erledigt haben und koennen bei c.) weitermachen
was meint ihr dazu?
a bienTom
Valentin Wadl
Sep 11, 2012, 4:47:16 AM9/11/12
to frus...@googlegroups.com
klingt gut
sollen wir eine session machen?
am besten bei einem brunch :D
--
Sie haben diese Nachricht erhalten, weil Sie der Google Groups-Gruppe frustikus beigetreten sind.
Reply all
Reply to author
Forward
0 new messages