Versuch der unfreundlichen Übernahme: Virenangriff auf Augen geradeaus!

Statt produktiv zu sein, zu recherchieren und zu schreiben, habe ich den heutigen Vormittag mit Absicherungs- und Aufräumarbeiten verbracht: Auf Augen geradeaus!, so heute morgen die Warnmeldung meines Internet-Providers, wurde ein Virenangriff gestartet. Deshalb habe ich erst mal alle Passwörter geändert (das sind für verschiedene Accounts und Zugänge eine Menge…) und sonst auch noch aufgeräumt.

Es handelte sich offensichtlich um eine Backdoor. Und ich gebe das vor allem als Warnung an die Kollegen weiter, die wie ich auf der Münchner Sicherheitskonferenz waren und das – offene – WLAN dort benutzt haben: Ich habe keinen Beleg dafür, dass der Angriff dort passiert ist – aber es war das einzige offene WLAN, das ich in den vergangenen Wochen genutzt habe. Deshalb better safe than sorry: überprüft mal eure Systeme. (Die MSC habe ich auch schon informiert.)

Nachtrag: Da die Experten ohnehin debattieren, hier die Meldung im Wortlaut (XXX ist meine Accountbezeichnung):

In Ihrem Account XXXXX wurde ein Virus gefunden :

Um den Virus bzw. den Schadcode daran zu hindern weiterhin Schaden anzurichten, hat ihn unser Virenscanner umgehend gesperrt.
Eine detaillierte Liste der Dateien finden Sie zusätzlich im FTP-Ordner in der Datei „/www/htdocs/XXXXX/logs/viren_log_2014_02_03.html“.

Die Liste erhebt keinen Anspruch auf Vollständigkeit, bitte kontrollieren Sie Ihre Dateien auf weiteren Schadcode.

Häufige Ursachen für Virenbefall im FTP-Account sind Sicherheitslücken in oft nicht aktualisierten Scripten wie CMS, Shop, Forum, Gästebücher usw., oder ein Befall mit Schadecode auf dem PC, mit dem die Webseite bearbeitet wurde.

Wir empfehlen in jedem Fall ein sofortiges Ändern aller Zugangsdaten (Accountlogin, FTP, E-Mail-Passwörter), sowie eine gründliche Überprüfung des PCs mit geeigneter Software.

php_obfus_24.UNOFFICIAL gefunden in /www/htdocs/XXXXX/wp-includes/count.php umbenannt in: /www/htdocs/XXXXX/wp-includes/VIRUS_php_obfus_24.UNOFFICIAL_count.php

(Grafik: Flickr-User Brett Jordan unter CC-BY-Lizenz)