Exploit:JS/Blacole.AR ist ein global-agierender Hardcore "No Mercie" Computer-Virus … Einer dieser Dinger, die  normalerweise aus einer mit Pilzen bewuchernden Stinkevotze einer verfaulten Hafenhure hervorkriechen. Warum ich darüber schreibe? Ein  Hacker-Hurensohn hat damit vor ein paar Tagen assimäßigerweise mein gesamtes SEO-Linknetzwerk verseucht! 

Das ist  nicht witzig, ich will diese hässliche Missgeburt für diesen feigen Hacker-Angriff jetzt am besten gleich 10.000 Mal hintereinander töten!  Solange, bis der Weltuntergang 2012 eintritt und ich ihn dann in der Hölle im Namen des Satans nochmal 10.000 Mal töten & anspucken kann!! !

Ok, ich habe den gewalttätigen "Exploit:JS/Blacole.AR"  -unter Einsatz von krass-derben Blutopfern-  letztendlich "pampampam" Nutzuchtmäßig gefickt! ……..  Aber irgendwie habe ich jetzt keinen verbumsten Bock mehr, mich nach diesen extrem harten Zeiten -trotz meines  Sieges-, noch weiter mit Hackingzeugs  zu beschäftigen; aber ich will helfen diesen deinen Content untergrabenden Maulwurf zu bekämpfen und auszurotten!!

Dieser Post dient somit als  WordPress "Fucking Notfall" Security-Schulung, die zeigt,  wie man einen scheiß-perversen Motherfucker-Hacker-Angriff, dem Du wahrscheinlich gerade ausgesetzt bist, am besten neutralisieren kann.

Anleitung zur Blog-Virenbereinigung in 10 einfachen Schritten

1. Bevor Du jedoch mutig den Kampf gegen diesen 24-Stunden-Hundekotfresser antrittst, benachrichtige unbedingt deinen Webhoster über die Hacking-Attacke auf dein WordPress-System. Er wird dich aus dem Hintergrund heraus weiter unterstützen und auch deinen Webspace gründlich durchscannen.

2.  Bereinige deinen Computer mithilfe von Antivirentools soweit wie möglich von allen Windows-Schadprogrammen. Nur zur Info: Mein Kaspersky Internet security war leider machtlos gegen den relativ neuen "Exploit:JS/Blacole.AR"…  Als der Trojaner mein Windowssystem betrat, sagte er  "Guten Tag, ich bin der notgeile Nikolaus!" Und Kaspersky erwiderte zurück: "Oh cool, willst Du mich  von vorne oder lieber gleich von hinten nehmen?"  Meine Antivirus-Tool-Lizenz läuft noch +100 Tage, aber ich scheiß´drauf! Das Teil sogleich gelöscht und infolgedessen alle möglichen kostenlosen Virentools ausgetestet, die online so angeboten werden und wo jedes sagt, dass es das beste Antivirustool sei!  Das Beste habe ich bisher nicht gefunden, wohl aber das Schlimmste:  Nämlich das wohlbekannte  Microsoft Security Essentials. Dieses Antivirustool  grenzt eigentlich schon an Nötigung. Denn als es einen Virenbefall in Windoof  registrierte, sprach es mir ungefragt meine Autonomie ab, stoppte alle meine Admin-Aktivitäten und leitete mich ständig auf eine Verkaufsseite weiter in der ich unter Druck meine Kreditkartennummer rausrücken sollte. Nix ging mehr! Ich drückte als letzten Ausweg die F3 Taste während des Systemneustarts und machte Windoof somit im Rahmen meiner völligen Aussichtslosigkeit komplett platt! Alle meine Daten waren zwar weg (AUTSCH!!!), aber MSE ebenfalls! Das tröstete mich zwar nicht über den traumatischen Datenverlust hinweg, bescherte mir aber  wenigstens ein bißchen sadistische Genugtuung.  So schön kann also selbstverletzendes Verhalten  sein! Hahah!!

Folgende Virentools kann ich nach meiner Odyssee empfehlen:

*Update* (31. März) – Bei den  unten aufgeführten kostenlosen Anti-Virus Tools handelte es sich leider nur um Demos und weil sie mir nicht wirklich geholfen haben ("10 Trojaner entdeckt, um sie zu entfernen kaufen Sie bitte die Vollversion"), habe ich mich für ein kostenpflichtiges Tool entschieden.  Tipp: PC Tools Spyware Doctor mit Antivirus 2012 – 3 PCs – deutsch

Malwarebytes Anti-Malwarehttp://www.malwarebytes.org/

AVG Free Antivirus 2012http://free.avg.com/de-de/antivirus-gratis-downloaden

Spyhunter download http://www.enigmasoftware.com/trial/download-spyhunter-free-scan.php

3. Der nächste Security-Tipp an dieser Stelle  wäre jetzt eigentlich, WordPress auf die neueste Version upzugraden. Das Problem ist allerdings, vorallem wenn man es lange aufgeschoben hat, dass damit nur  alles schlimmer werden könnte.  Zum Beispiel war eine der verseuchten Seiten meines  Linknetzwerkes ein Artikelverzeichnis mit über 3000 Artikeln, das jetzt nicht mehr genutzt werden kann, weil  ein Datenbankfehler während des Upgrades eintrat. Ich musste zuerst eine neue Datenbank anlegen, weil das WP 3.3.1 nur auf MySQL-5 Datenbanken mit PHP5 läuft. Also habe ich ein Backup von der MySQL-4 Datenbank gemacht und wollte den Dump im Nachhinein einspielen, ist aber schiefgegangen! Es gab ein PHP-Timeout und nun zeigt mein Artikelverzeichnis  keine 3000 Artikel mehr sondern nur noch einen verficten "Hallo Welt" Begrüßungspost! Dann habe ich das  PHP-Tool von http://www.mysqldumper.de/ ausprobiert, aber es konnte den Backup ebenfalls nicht einspielen!

Kurzum: Ein Wp-Backup wäre erstmal zu verschmerzen, außerdem handelt es sich ja bei dem Virenbefall um einen Exploit der eine Sicherheitslücke in WordPress ausnutzt, um Malware im Web zu verbreiten. (Jeder deiner Besucher ohne Virenschutzprogramm wird somit potentiell betroffen gemacht) Wenn Du jetzt aber auf die neuste Version von Wp upgradest, schließt sich damit  ja nur eben jene Lücke, über  die die Malware eingeschleust wurde, aber der kompromittierende (bösartige)  JavaScript-Code wird damit nicht entfernt!

4. Stattdessen sollte man vlt zuerst folgende WordPress Security Plugins installieren:

Antivirus WordPresshttp://wordpress.org/extend/plugins/antivirus/

Better WP Securityhttp://wordpress.org/extend/plugins/better-wp-security/

wp exploit scanner pluginhttp://wordpress.org/extend/plugins/exploit-scanner/

–  Sucuri Sitecheck Malware Scannerhttp://wordpress.org/extend/plugins/sucuri-scanner/

TimThumb Vulnerability Scannerhttp://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/

WordPress Firewall 2http://wordpress.org/extend/plugins/wordpress-firewall-2/

Theme Authenticity Checker – http://wordpress.org/extend/plugins/tac/

5. Wenn Du dich fragst, wie der Piss-Virus denn alle deine werten Domains mit nur einem Boxhieb kompromittieren konnte, kommt jetzt die schlechte Nachricht: Er hat höchstwahrscheinlich dein passwortgeschütztes Ftp-Programm ausspioniert und kennt nun jene Kennwörter, die Du nicht einmal deiner Mudder verraten würdest! ! Deinstalliere also besser  Filezilla und mache Dir klar, dass Du in Zukunft  lokal niemals mehr deine Passwörter dort speichern darfst! Installiere Filezilla erneut, aber bevor Du es startest, ändere -sofern noch nicht geschehen – alle Ftp-Passwörter im Kundenbereich deines Webhosters.

Filezilla download – http://www.filezilla.de/download.htm

6. Als nächstes musst Du Filezilla aufrufen und deinen verseuchten Webspace ansteuern. Aber auf keinen Fall unter "Datei" auf Servermanager gehen und dort deine Daten eintragen. Auch wenns bequem erscheint, wäre das der größte Fehler, den Du machen könntest. Verwende stattdessen die Eingabe- Felder für Server, Benutzername und Passwort oben im FileZilla für die Virenbereinigung. Lösche nach jeder Sitzung deine Passwörter!

7.  Der "Exploit:JS/Blacole.AR" ist so programmiert, dass er in alle Dateien, die mit "Index" (z.B. Index.php)  beginnen,  Malware-Code hineinschreibt. Meistens in der 1. Zeile der jeweiligen Datei. Wie der Code aussieht, zeigt Dir der kostenlose Sucuri Sitecheck Malware Scanner. OK. Entweder löscht Du den schadhaften Code manuell aus den Index-Dateien oder noch besser: Du ersetzt sie mit den Original-Files deines WordPress-Downloads.

8. Suche also hierfür  jetzt folgende Index-Dateien deiner WordPress-Installation:

-Index.php im Hauptverzeichnis

– Index.php im Ordner Wp-Content

– Index.php im Ordner Wp-Content > Plugins ( ersetze vorsichtshalber alle Plugins durch Neuinstallationen, denn sie könnten bereits infiziert sein)

– Index.php im Ordner Wp-Content > Themes

– Index.php im Ordner Wp-Content > Themes > Dein_Theme_Ordner

(Lösche am besten alle Themes, die Du nicht verwendest!)

– Gegebenenfalls noch die Index.php im Ordner Wp-Admin

-Je nach Trojaner/ Virus können noch weitere Dateien und Ordner infiziert sein. Auskunft darüber gibt der Sucuri Sitecheck Malware Scanner.

ACHTUNG:  Sobald Du den Schadcode von Hand gelöscht bzw. die Index-Dateien mit den nicht-verseuchten Orginal-Index-Dateien ersetzt hast, musst Du die Dateiberechtigung ausnahmslos auf 444 einstellen! Das geht so:

Über den Index.php Ordner hovern, linke Maustaste klicken und im Menü "Dateiberechtigung" auswählen. Bei "Dateiattribute ändern" dürfen für Benutzer, Gruppen und die Öffentlichkeit somit nur Häkchen bei "Lesen" gesetzt sein, nicht aber bei "schreiben" und "ausführen".

Dies kann zwar zu einigen Konflikten mit diversen WordPress-Plugins führen, aber es ist absolut wichtig, damit dem Virus der Spielraum genommen wird und er nicht erneut zuschlagen kann.

9. Lies meinen Artikel zur WordPress Security. Dort erfährst Du mehr zum Thema "WordPress Virus Blog". Zum Beispiel solltest Du die Readme-Dateien löschen und nicht die Versionsnummer im Header anzeigen. Du findest den Artikel mit weiteren Security-Tipps hier:

http://dofollow.de/blogging/wordpress-sicherheit/

10.  Frage nochmal freundlich bei deinem Webhoster an und bitte ihn, Dir alle Datenbank-Passwörter & die Datenbank-Schlüssel zu ändern. 1und1 hat mir hier sehr gut geholfen und folgende eMail mit weiteren Tipps zur WordPress-Sicherheit gesandt:

Sehr geehrte/r Herr Martin Hamann,

Sie erhalten heute eine dringende Nachricht zu Ihrem 1&1 Webspace.

Ihr Webspace ist von Unbefugten angegriffen worden. Dadurch konnten schädliche
Dateien auf Ihrem Webspace abgelegt werden.

Unser Expertenteam hat den Angriff analysiert und einen Teil der Folgen
abgewehrt. Um die Sicherheit Ihrer Webseiten wiederherzustellen, sind unbedingt
weitere Maßnahmen notwendig, Ihre Mitarbeit ist dabei dringend erforderlich.

Beachten Sie daher bitte die folgenden Hinweise.

*************** 1.   Analyse des Angriffs ******************************

*************** 1.1  Es wurden schädliche Dateien auf Ihren 1&1 Webspace abgelegt. Diese Dateien dienen zum Versand von Spam-E-Mails, zeigen Phishing-Seiten oder andereschädliche Inhalte. Wir haben diese Dateien deaktiviert.Die Liste dieser schädlichen Dateien finden Sie am Ende dieser Nachricht.

1.2  Die Dateien wurde über Ihren passwortgeschützten 1&1 FTP-Zugang
hochgeladen. Daraus schließen wir, dass Ihre 1&1 FTP-Zugangsdaten durch einen
Virus auf Ihrem Computer ausspioniert wurden. Wir haben diese Dateien deaktiviert.

1.3  Der Ausgangspunkt des Angriffs ist also sehr wahrscheinlich ein Virus auf
Ihrem Computer. In Frage kommt aber auch jeder andere Computer, auf dem Sie Ihre
1&1 FTP-Zugangsdaten eingegeben haben.

1.4  Zu Ihrer vollständigen Information finden Sie eine Text-Datei auf Ihrem 1&1
Webspace. Darin finden Sie neben der Liste der schädlichen Dateien auch einen
Auszug aus Ihren FTP-Logfiles, der Ihnen den Vorgang des Hochladens anzeigt.

***************************************************************************
2.   Anleitung: So stellen Sie die Sicherheit Ihres Webspaces wieder her
***************************************************************************
2.1  Um den Virus von Ihrem Computer zu entfernen und künftig zu schützen,
empfehlen wir Ihnen die Installation einer professionellen Anti-Viren-Software,
wie z.B. Norton 360 oder Norton Internet Security. Diese finden Sie in Ihrem 1&1
Control-Center.

Weitere empfohlene Anti-Viren-Programme sind:
– Spyware Doctor: http://www.pctools.com/spyware-doctor/
– Lavasoft Ad-Aware: http://www.lavasoft.com/products/ad-aware_se_personal.php
– MacScan (für Mac-User): http://macscan.securemac.com/download.html

Bitte beachten Sie: Es gibt zurzeit keine Software, die alle Viren erkennt.
Wissenschaftliche Untersuchungen ergeben, dass nur etwa 70% der aktiven Viren
erkannt werden. Sollten Sie keinen Virus finden, überdenken Sie eine
Neuinstallation Ihres Betriebssystems.

2.2  Ändern Sie anschließend das Passwort zu Ihrem 1&1 FTP-Zugang. Zu Ihrer
Sicherheit haben wir das Passwort bereits geändert. Sie finden alle FTP-Zugänge
in Ihrem 1&1 Control-Center unter:
1&1 Webhosting > Zugänge > FTP-Zugang

2.3  Ändern Sie zur Sicherheit auch Ihre anderen Passwörter und Zugangsdaten.
Möglicherweise wurden diese ebenfalls von dem Virus ausspioniert. Denken Sie zum
Beispiel an die Passwörter zu:
– Ihrem 1&1 Control-Center (Service-Passwort)
– Ihrem eBay-Mitglieds-Konto
– Ihrem WEB.DE, GMX E-Mail-Postfach oder anderen E-Mail-Konten
– Ihrem PayPal-Konto
– Ihrem Online-Banking

2.4  Löschen Sie alle schädlichen Dateien von Ihrem 1&1 Webspace.
Um unsere Analyse-Datei zu lesen, folgen Sie in Ihrem 1&1 Control-Center dem
folgenden Pfad: > 1&1 Webhosting > Zugänge > WebspaceExplorer
> Ordner xnxx‘ > Unterordner ‚xxx‘ > Datei ’nxxxnxn.log‘

Tipp: Um diese Datei besser lesen zu können, öffnen Sie diese nach dem Download
mit dem Programm "MS WordPad".

***************************************************************************

Haben Sie noch Fragen? Dann antworten Sie einfach auf diese E-Mail und belassen
Sie bitte unsere Referenz [Ticket xnxx ] in Ihrer Nachricht.

Oder rufen Sie uns einfach an. Wir sind gerne für Sie da.

Sie erreichen uns montags bis freitags von 08:30 bis 17:00 Uhr unter:
0721 96 00
kostenfrei aus dem 1&1 Netz, Festnetz- und Mobilfunkpreise anderer Anbieter ggf. abweichend.

Wir freuen uns, mit Ihnen gemeinsam für Sicherheit in Ihrem Vertrag zu sorgen
– vielen Dank für Ihre Mitarbeit.

***LISTE DER SCHÄDLICHEN DATEIEN********************************************
~/xnxnxnxn
***ENDE DER LISTE***********************************************************

Mit freundlichen Grüßen

Ihr Abuse-Team

 

Zugehörige Linkliste
WordPress Virus entfernenhttp://www.peterglowka.de/daysofyorr-release-virus-entfernen/
WordPress Virus Sicherheithttp://www.blogverdiener.de/2012/01/wordpress-virus-entfernen-so-findest-du-schadlichen-code-wordpress-anti-viren-plugin/
WordPress Virus attackhttp://www.esotech.org/resources/cms/wordpress/wordpress-header-javascript-and-iframe-injection-problem-solution-and-analysis
WordPress Virus bloghttp://starblogger.net/check-your-blog-security-using-antivirus-plug-in-wordpress.html
WordPress Virus Datenbankhttp://www.seo-agentur-wissen.de/allgemein/wordpress-alarm-virus-manuell-beseitigen.html
WordPress Virus ftphttp://blog.tobis-bu.de/2011/11/20/viren-im-wordpress-blog/
WordPress Trojaner index.phphttp://www.gogozone.de/blog/wordpress-index-php-datei-trojaner-275/
WordPress Trojaner Javascripthttp://blog.murawski.ch/2010/02/jsredirect-trojaner-auf-webserver-keygenguru/

Antivirus

  • Lokale Suchanfragen (exakt): 1.220.000    

Antivirus

  • Globale Suchanfragen  (exakt): 30.400.000

Weiterempfehlen


Jetzt Lesen

«
»