Thema: Malware/Trojaner auf Joomla 1.5.23 Webseite

Hi Leute,

auf der Seite eines Bekannten die mit 1.5.23 läuft hat sich irgendwie ein Trojaner eingeschleust. Das ganze Ding hört auf den Namen "Decdec.psc" - ich kann das aber weder auf dem Webserver, noch auf / in den einzelnen Ordnern oder Dateien finden. Wie gehe ich dabei am besten weiter vor, ohne den Space zu rohden? Im Netz gibt es auch nichts brauchbares darüber.
Vielleicht hat ja jemand eine Ahnung? Das ganze fing an mit der Ausgabe von Sonderzeichen (im Forum gibt es den UTF8 zu ANSI kodieren-Thread), die Sympthome sind dabei ähnlich, nur eben mit dem kleinen Vermerk eines Bots/Malware die dort ausgeführt wird. Die Seite habe ich vorerst vom Netz genommen...
Mir ist das in Joomla schon mal passiert, dabei hat sich vom PC ein Virus in die index gefressen, die Folge war das ich dann alles neu machen konnte, inkl. "formatierung" des Webspaces und natürlich des Computers!

Ich wäre für Hilfe jeglicher Art dankbar

LG Johnny

Du wirst es nicht vermeiden können alles platt zu machen (s. Flottes Liste)

Ja, die Grundzüge der Sicherheit und auch "Flottes Liste" sind mir bekannt - vielleicht wäre es aber möglich das anders zu lösen. Es scheint dazu auch keine anderen Fälle zu geben. Am ärgerlichsten ist einfach das der Kontent aus 60 Seiten neu eingespeist werden muss, es ist so viel Arbeit -.-

Nun, Du kannst natürlich die Dateien vergleichen welche infiziert sind.

Kommt natürlich darauf an welche hundert Extensions noch installiert sind.

Wichtig ist auf jeden Fall zu klären wann und wie sich das Teil eingenistet hat und alles wieder clean zu haben.

was für ein Backup ? was ist das ?

Gruss Pegu

Was leckeres!

Für die Feiertage genau das richtige!

MfG, C.A.M

Backups sind nur was für Feiglinge. Richtige Kerle vertrauen auf ihre Kompetenz (und fallen damit gerne mal auf die Schnauze).
Grundregel bei Webseiten: alles aktuell halten (Core und Erweiterungen), um so wenig Einbruchgelegenheiten wie eben möglich zu geben.

Zitat von Johninho

...vielleicht wäre es aber möglich das anders zu lösen. Es scheint dazu auch keine anderen Fälle zu geben.

Natürlich geht das wenn das entsprechendes Wissen und Hilfsmittel da sind und viel Zeit...
BTW: Ist Seite zumindestens schon offline oder wird mittlerweile wissentlich den Besuchern Trojaner untergeschoben?

Zitat von Johninho

Am ärgerlichsten ist einfach das der Kontent aus 60 Seiten neu eingespeist werden muss, es ist so viel Arbeit -.-

Glaub mir, es kann noch viel ärgerlicher (und teurer) werden, wenn Du es nicht schaffst die Seite zu bereinigen.

Das ganze Ding hört auf den Namen "Decdec.psc" - ich kann das aber weder auf dem Webserver, noch auf / in den einzelnen Ordnern oder Dateien finden.

Du wirst "das Ding" nicht unter diesem Namen finden. Es wird codierte Code sein und/oder auch nachgeladene Code.

Ansatzpunkte einer Dirty Solution:
* Alle Sourcen ersetzen! (in dem Zug gleich das aktuelle Joomla aufspielen)
* Alle Hinweise in den Logs prüfen und verfolgen (auch FTP-Log). GUter Ansatz ist zuerst nach "POST " zu suchen. Bei Fundstellen die IP in allen Logs filtern und prüfen was gemacht wurde.
* Alle Dateien herunterladen und auch per Virenscanner lokal prüfen
* Alle Dateien nach Datum absteigend untersuchen (jüngste zuerst)
* Alle Dateien nach "base64_decode" durchsuchen. Größere Fundstellen sind fast immer Schacode
* Eigenen PC intensist prüfen (und alle andere mit Zugriff)
* Alle Passwörter, auch FTP, ändern
* Alle Versionen aller Scripte prüfen

und:
Seite offline schalten!! Nicht durch die Offline-Funktion, sondern richtig vom Netz nehmen. Falls keine andere Möglichkeit existiert, per .htaccess-Passwortschutz

Moin Jungs,

danke für die ganzen Antworten! Ich habe viel gesucht, mir extra einer meiner Söldner-PC's geschnappt um alle Dateien zu untersuchen. Ich konnte leider nichts feststellen, auch die Serverlogs haben keine Ergebnisse geliefert. Die Frage ist und bleibt: wie ist das Ding da hin gekommen?
Wie eingangs erwähnt, habe ich die Seite natürlich sofort offline geschaltet! Nach einigen Stunden Forschungsarbeit (Analyse) habe ich mich dazu entschlossen den Space platt zu machen, ich setze heute ein neues Joomla auf, da alle relevanten Daten (SAUBER) als Backup existieren, Gott sei Dank auch alle Texte. Ich fange also wieder bei 0 an, dennoch ist es mir rätselhaft wie sowas passieren konnte.

Noch mal ein paar Details: Er hat ALLE Texte auf der Seite in einen anderen Zeichensatz geworfen! Und mir Fehler geliefert, die auftreten wenn man z.B. die Installationsdaten mit falscher FTP Kodierung hoch lädt. Die normale Herangehensweise hat dabei aber nicht funktioniert, auch der Login mit 2 Superadmin-Accounts schlug fehl. Das ändern der Passwörter per PHP MyAdmin funktionierte ebenso wenig. Geänderte und ersetzte Quelltexte (ANSI) waren auch sofort nach Upload wieder beim alten. Unterm Strich lief also gar nichts mehr...
Ich werde mich noch mal genauer mit dem Space befassen, um tatsächlich alles auszuschließen.

So far...

Johnny