Am Sonntag bin ich ziemlich erschrocken, als mein Virenscanner, Avira Antivir Personal, beim Betrachten meines Blogs eine Malware Meldung mit dem Namen HEUR/HTML.Malware ausgab. Eine erste Google Suche ergab nichts Verwertbares. Es handelt sich um die heuristische Erkennung eines möglicherweise gefährlichen Scripts. Es folgten die üblichen Annäherungsverfahren: 1. Check mit Internet Explorer, 2. Check auf einem anderen Windows, 3. Check des Html Sourcetextes mit Virustotal, einem Onlinescanner. Ergebnis: Das Problem schien nicht lokal zu sein und wenigstens scheint nur AntiVir und ein anderes Antivirusprogramm anzusprechen.
Beim Betrachten des Blog Quelltextes erscheint am Ende jeder Seite ein langes Script – sehr verdächtig. Ich checke per FTP-Programm meine Files beim Hoster und werde bereits bei der Haupt-index.html fündig. Hier scheint jemand ein Script und Werbelinks eingefügt zu haben. Eine weitere Suche zeigt, dass zwei index.html und 3 index.php im Blog und WordPress Verzeichnis infiziert wurden. Glücklicherweise hatte ich noch ein Backup aller Dateien und konnte so die korrekten Files zurückspielen.
SORRY also für alle, die hier in den letzten Tagen eine Viruswarnung erhalten haben! Nun dürfte alles wieder in Ordnung sein. Trotzdem bleibt ein mulmiges Gefühl, da ich nicht weiss, wie meine index.html verändert werden konnte und ich bisher dachte, dass ich die Lese- und Schreibrechte korrekt gesetzt hatte.
Pingback: Spoony’s Bike Blog » Blog Archives » Wurde mein Blog gehackt ?
Das hatte ich auf einer von mir verwalteten Vereinsadresse auch schon! Der Provider meinte damaals, dass effektiv das Passwort geknackt worden sei. Das Vorgehen ist immer so, dass die index Dateien mit ein paar codezeilen ergänzt werden, die dann bei jedem Aufruf aufgerufen werden.
Ich habe damals dass Passwort so abgeändert, dass es kaum zu knacken ist.
Jetzt weiss ich endlich, wieso ich tagelang nicht auf Deinen BLog zugreifen konnte.