Schädliches Script

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
bluefin
Beiträge: 67
Registriert: Mi 9. Nov 2005, 19:51
Kontaktdaten:

Schädliches Script

Beitrag von bluefin » Mo 8. Sep 2008, 09:10

Hallo,
beim aufrufen einer Kundendomain www.urimat.de erscheint bei Kaspersky eine Warnmeldung, dass die Internetseite ein schadhaftes Script enthält. Trojaner js.psyme.wn wird erkannt. Contenido 4.6.2 inkl. Sicherheitsupdates.

In der Statusleiste vom IE sehe ich auch kurz, dass eine unbekannte IP Adresse aufgerufen wird.

Im Firefox kommt keine Meldung.

Das ganze passiert auch nur auf der Startseite. Und nur in dieser Sprache.
Ich habe den ganzen Webspace auf meinen Rechner geladen und nach der IP , nach Iframe, nach .wn gesucht-leider alles erfolglos.

Was kann ich noch machen??

Danke für die Hilfe.

Oldperl
Beiträge: 4086
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:

Beitrag von Oldperl » Mo 8. Sep 2008, 09:50

Hallo bluefin,

prüfe ob dieses Verhalten auch auf einem anderen PC so ist. Rufe die Seite mit einem anderen Browser auf. Benutze keine Favoriten und lösche Vorab den Cache des Browser. Deaktiviere mal ActiveX im Browser.

Warum?

Nun, ich kann mir vorstellen, dass es sich hierbei um einen Trojaner etc. auf dem benutzten PC handelt, der sich beim Aufruf der Seite als eine Art Proxy dazwischen hängt und dabei seinen eigenen Code für die Seite einschleust.

Gruß aus Franken

Ortwin
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

bluefin
Beiträge: 67
Registriert: Mi 9. Nov 2005, 19:51
Kontaktdaten:

Browsertest

Beitrag von bluefin » Mo 8. Sep 2008, 09:55

Danke erst mal für deine Antwort.

Der Fehler kommt bei mehreren PCs. Kunden des Kunden haben sich schon gemeldet. Im Firefox kommt wie gesagt keine Meldung. Warum wird das Script wenns lokal liegt gerade auf dieser Internetseite "aktiviert"? Und wie kann ich das unterbinden. Liegts an den Flshelementen auf der Seite??

Dodger77
Beiträge: 3625
Registriert: Di 12. Okt 2004, 20:00
Wohnort: Voerde (Niederrhein)
Kontaktdaten:

Re: Schädliches Script

Beitrag von Dodger77 » Mo 8. Sep 2008, 10:12

bluefin hat geschrieben:Contenido 4.6.2 inkl. Sicherheitsupdates.
Aktuelle 4.6.x ist mittlerweile die 4.6.24. Heißt das, es wurden alle Sicherheitsupdates bis jetzt manuell in der 4.6.2 nachgezogen?

Oldperl
Beiträge: 4086
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:

Re: Browsertest

Beitrag von Oldperl » Mo 8. Sep 2008, 10:22

bluefin hat geschrieben:Danke erst mal für deine Antwort.

Der Fehler kommt bei mehreren PCs. Kunden des Kunden haben sich schon gemeldet. Im Firefox kommt wie gesagt keine Meldung. Warum wird das Script wenns lokal liegt gerade auf dieser Internetseite "aktiviert"? Und wie kann ich das unterbinden. Liegts an den Flshelementen auf der Seite??
Also wenn das bei mehreren unabhängigen Clients passiert, ist es unwahrscheinlich das es lokal liegt, dann tippe ich eher auf eine Übernahme auf dem Server. Hier wäre es am einfachsten die Apache-Logs zu sichten um herauszubekommen, wo das Script herkommt, bzw. abgelegt ist.

Alternativ kann man auch alle Dateien vom Webspace entfernen, die Passwörter, vor Allem der DB, ändern und dann erst mal eine Neuinstallation über die alte Datenbank machen (nicht vergessen die con_code vorher leeren).
Das Script kann sich natürlich auch in der DB oder in einer der Cache-Dateien verstecken.

IMO ist hier Suchen angesagt, nur den Fehler beheben wäre schlecht, wenn man nicht weiß wo es herkam. Da könnte es ja wiederholt kommen, und man hätte jedesmal den gleichen Aufwand.

Gruß aus Franken

Ortwin
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

bluefin
Beiträge: 67
Registriert: Mi 9. Nov 2005, 19:51
Kontaktdaten:

Re: Browsertest

Beitrag von bluefin » Mo 8. Sep 2008, 11:02

Wie und wo sichere ich die Apache-Logs?

Ich hab den kompetten Webspace auf meinen PC kopiert. Wonach muss ich denn überhaupt suchen???

Die Suche nach der fremden IP ergab kein Ergebnis

Oldperl
Beiträge: 4086
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:

Re: Browsertest

Beitrag von Oldperl » Mo 8. Sep 2008, 11:15

bluefin hat geschrieben:Wie und wo sichere ich die Apache-Logs?
Kommt drauf an ob du nen Server (root-Zugriff) oder nen Webspace mit Interface hast. Bei Plesk z.B. hast du die Möglichkeit im Log-Manager deiner Domain, wenn dieses Feature freigegeben ist.
Ich hab den kompetten Webspace auf meinen PC kopiert. Wonach muss ich denn überhaupt suchen???
Nach kürzlich geänderten Dateien oder nach Dateien, die nicht zu Contenido hinzugehören. Im FTP-Proggi auf das Datum achten. Gerne genommen werden Verzeichnisse wie cronjobs, temp oder upload.
Die Suche nach der fremden IP ergab kein Ergebnis
Suche mal nach dieser IP in den Apachelogs, im Webinhalt wird sie wahrscheinlich nirgends auftauchen.

Gruß aus Franken

Ortwin
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

bluefin
Beiträge: 67
Registriert: Mi 9. Nov 2005, 19:51
Kontaktdaten:

Re: Browsertest

Beitrag von bluefin » Mo 8. Sep 2008, 11:29

was oder wofür ist die datei ipsthumb.db zuständig?

könnte das schon ne lösung sein?

Oldperl
Beiträge: 4086
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:

Beitrag von Oldperl » Mo 8. Sep 2008, 11:50

denk ich nicht, IpsThumb.db ist eine Thumbfile Datenbank von Ipswitch, so wie die Datei thumbs.db von WinD..F ;-)

Gruß aus Franken

Ortwin

PS: hierbei hat mir ne Suche beim großen G geholfen nach: file info ipsthumb.db :wink:
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

mfweb
Beiträge: 270
Registriert: Mo 12. Sep 2005, 18:31
Kontaktdaten:

Re: Browsertest

Beitrag von mfweb » Mo 8. Sep 2008, 22:37

bluefin hat geschrieben:Ich hab den kompetten Webspace auf meinen PC kopiert. Wonach muss ich denn überhaupt suchen???
Lasse doch einmal WinMerge (oder ähnliches Programm) die Ordner des Webspaces und einer "sauberen" Contenido-Version (gleiche Versions-Numer!) vergleichen. Damit kannst du dann relativ schnell die Veränderungen erkennen.
Und schädlichen/verdächtigen Code erkennt man i.d.R. relativ schnell an seinem Erscheinungsbild. ;-)

bluefin
Beiträge: 67
Registriert: Mi 9. Nov 2005, 19:51
Kontaktdaten:

Re: Browsertest

Beitrag von bluefin » Di 9. Sep 2008, 07:58

Danke!
Ich kenne ja die IP mit der im Hintergrund irgendwas passiert. Ist es dann nicht möglich diese im CMS Ordner zu suchen?

Ich habe von anderen erfahren, dass sich solch ein Script auch an Flash oder Bilddateien anhängen kann. Wie bekomme ich das denn geregelt???




Danke

bluefin
Beiträge: 67
Registriert: Mi 9. Nov 2005, 19:51
Kontaktdaten:

Re: Browsertest

Beitrag von bluefin » Di 9. Sep 2008, 10:06

mir ist aufgefallen, dass die Trojanermeldung nur bei der deutschen Sprache (changelang=1)kommt. Ich habe jetzt eine neue Sprache angelegt und von der deutschen Seite synchronisiert.

Bis jetzt kommt keine Meldung mehr. Ist das vielleicht ein Lösungsansatz?

Antworten