Gema Virus im WordPress Blog – eine Gefahr für Blogger und Leser?

Aus aktuellem Anlass möchte ich ein paar Takte zum Gema Virus, den sich bis dato zwei mir bekannte Blogger auf ihrem WordPress Blog eingefangen haben, loswerden. Es können Einzelfälle bleiben, doch so wie es momentan aussieht, ist das eher nur der Anfang einer Welle, die so einige Blogger überrollen könnte. Neben dem Gema Virus habe ich mir als Besucher von Blogs in den letzten 2 Wochen noch zwei weitere Trojaner/Viren eingefangen. Ausgangsbasis waren immer WordPress Blogs, wobei ich bei den ersten beiden auch nicht ausschließen konnte, dass es vielleicht sogar mich selbst (im Admin Bereich) erwischt hatte.

Wie kommt der Gema Virus in den WordPress Blog?

Wer die Diskussionen der beiden bisher betroffenen nicht verfolgt hat, sei an dieser Stelle auf die beiden Google Plus Beiträge hier und hier verwiesen. Es sieht so aus als schleust sich der Gema Virus in das Theme des Blogs. Dort schreibt er einen verschlüsselten 64bit Code in den Footer des Themes. Zudem ist noch eine weitere Datei vorhanden, die dafür sorgt, dass dieser Code in die Footer geschrieben wird. Wie das ganze dahin kommt ist bis dato noch unklar, man kann nur spekulieren. Eventuell ist eine veraltete timthumb.php die Lücke. Wahrscheinlich liegt die Lücke irgendwo im Theme.

Wie kann man den Gema Virus aus dem WordPress Blog wieder entfernen?

Da ich selbst nicht davon betroffen war und es hoffentlich auch nicht sein werde, kann ich an dieser Stelle nur auf die Beschreibungen von Andreas in diesem Google Plus Beitrag verweisen (aktuell relativ weit unten in den Kommentaren). Die Datei im Theme, die dafür sorgt, dass die Footer mit Schadcode versorgt werden ist aufzuspüren und zu löschen. Bei Andreas war es eine template.php. Danach ist der Footer des Themes zu bereinigen. Theoretisch war es das auch schon gewesen. Zusätzlich sollten sicherheitshalber noch sämtliche Passwörter geändert werden.

So wie es momentan aussieht, war es das gewesen. Wenn Andreas clean bleibt, dann war es das auch wirklich. Das ist natürlich keine ausführliche Anleitung. Sollte es in Kürze eine geben, werde ich diese gerne an dieser Stelle verlinken.

Ist der Gema Virus für WordPress Blogs eine Bedrohung?

Mir geht es in diesem Beitrag mehr um die Frage, ob der Gema Virus für WordPress Blogger eine reale Bedrohung darstellt. Waren die beiden bisher Betroffenen Einzelfälle oder ist das nur der Anfang einer Welle, die uns in nächster Zeit überrollen wird. Es gibt auch die Vermutung, dass sich dieser Virus, der vornehmlich alle WordPress Installationen des Bloggers betrifft, paketübergreifend beim Hoster verbreiten kann. Na denn Prost Mahlzeit. Da hat wohl jemand eine Lücke gefunden, wie er diesen doch recht alten Virus, der sich früher vornehmlich über Facebook verbreitete, der Welt noch zugänglicher machen kann

Wie merkt man eigentlich, dass der eigene WordPress Blog betroffen ist?

Spätestens wenn Google einen auf die Blacklist setzt und einem die unschöne entsprechende Meldung überrascht, wenn man den eigenen Blog besucht, ist es klar, bei mir hat was in der Art zugeschlagen. Horst hatte sich selbst auf seinem Blog mit dem Gema Virus infiziert und bei Andreas ist es mir passiert und ich habe ihm geschrieben. Irgendwoher kommt der „Wink mit dem Zaunpfahl“ spätestens von Google selbst.

Wie kann ich meinen WordPress Blog und mich vor dem Gema Virus schützen?

Dass es einen wirklichen Schutz vor einem solchen Befall gibt, glaube ich derzeit nicht wirklich. Man kann höchstens einiges tun, um im Fall der Fälle so schnell wie möglich wieder „sauber“ zu werden.

Zu allererst würde ich mir eine Anleitung suchen, wie man dem Gema Virus von seiner eigenen Festplatte, sollte man ihn sich eingefangen haben, entfernen kann. In diesem Beitrag bei Google Plus gibt es in den Kommentaren von Horst eine schöne Anleitung dazu, die man sich zu Gemüte und ggf. ausdrucken kann.

Der nächste Schritt in meinen Augen wäre, die Java Sicherheitslücke am eigenen Rechner zu schließen, sofern sie vorhanden ist (siehe dieser Heise Artikel). Damit wäre schon mal für den eigenen Befall vorgesorgt.

Nun geht es an den WordPress Blog. Hier finde ich es generell wichtig, dass alle ungenutzten Dinge wie inaktive Plugins oder inaktive Themes vom Server gelöscht werden. Was man nicht braucht, hat dort nichts zu suchen. Abgesehen von dem Fakt, dass darin Sicherheitslücken enthalten sein könnten.

Ich persönlich arbeite immer mit einem Original auf meiner Festplatte, das mich schon mehrfach „gerettet“ hat. D.h. meine WordPress Installation, die Plugins, das Theme und sämtliche Änderungen die ich vornehme, betreffen immer das Original auf meiner Festplatte. Von dort spiele ich dann via FTP hoch auf den Server. Das bedeutet aber auch, dass ich auf sämtliche Online Updates, automatische Updates etc. verzichte. Ich führe so etwas immer erst mit dem Original auf meiner Festplatte durch, dann wird erst das Alte auf dem Server gelöscht und das Neue via FTP hochgespielt. Dieses Vorgehen bedeutet zwar vornehmlich einen Mehraufwand, dennoch stelle ich damit sicher, ein sauberes Original auf der Platte zu haben.

Im weiteren Verlauf ist mein Vorgehen auch eine Zeitersparnis. Denn ich brauche damit keine Backups meines FTP Verzeichnisses zu machen. Wer sie regelmäßig macht, weiß, dass diese nicht gerade wenig zeitaufwendig sind. Die spare ich mir, bis auf den Backup des upload Verzeichnisses komplett. Zudem stelle ich so sicher, dass ich mir nichts Infiziertes auf die Platte hole, was ich im Fall der Fälle ja gar nicht mehr verwenden könnte. Okay, 100% sicher kann man nie sein, aber doch ein Stückchen mehr.

Weiter bietet es mir den Vorteil, dass ich bei eventueller Inkompatibilität relativ zügig wieder auf das alte Original zurückgreifen kann (bei Plugins schiebe ich diese z.B. in einen lokalen Ordner „alt“ – auch bei Core Updates von WordPress gehe ich so vor (lokal verschieben, lokal die neuen Daten aufspielen, auf dem Server die alten Dateien löschen, die neuen via FTP hochspielen).

Das waren mal meine Gedanken und Vorschläge zum Gema Virus und wie wir unsere WordPress Blogs dafür schützen können. Ich bin in diesem Artikel nicht auf die Datenbank eingegangen, da ich nicht hoffe, dass diese infiziert ist. Setze aber voraus, dass es z.B. den user „admin“ darin gar nicht gibt.

Jetzt bin ich gespannt auf Eure Vorschläge und Ideen zum Gema Virus auf WordPress Blogs.