Joomlaseite verbreitet Schadsoftware - Strato

    Hallo alle miteinander,


    mir ist die Pflege einer Vereinsseite "angedient" worden. Doch noch bevor ich da tätig werden kann, gibt es schon massive Probleme. Nach alle was ich bisher herausgefunden habe, handelt es sich um eine Joomla-Seite, die über den Strato App-Installer installiert worden war. Welche Verson? Habe ich noch nicht herausgefunden. Die meisten Verzeichnisse und Dateien stammen aus März 2015. Eine Versionsnummer habe ich nicht finden können.


    Strato hat die Domain abgeschaltet da über die Seite offenbar Schadsoftware verbreitet wurde. Ich habe ein wenig gegoogelt und herausgefunden, dass das bei Joomla scheinbar ein größeres Problem ist und dass davon die administrator/includes/defines.php und die includes/defines.php betroffen sind. Deshalb habe ich zuerst einmal nachgeschaut, ob die jüngeren Datums sind. Waren sie aber nicht. Reingeschaut habe ich auch und oberhalb des eigentlichen Quellcodes einen ziemlichen, unleserlichen Code-Wust gefunden. Ich dach: Ahe, erwischt. Dann musste ich aber feststellen, dass jede, wirklich jede der vorhandenen php-Dateien einen solchen Code-Wust aufweisen. Es sind nur die PHP-Dateien betroffen.


    Ich habe mir eine Saubere Installation runtergeladen und die Dateien verglichen. Sie sind identisch mit Ausnahme dieses Code-Wusts.


    Hier ein Beispiel:


    [Schadcode entfernt.]


    Hat jemand eine Ahnung, was das ist? Handelt es sich dabei um eine Besonderheit durch die Strato-App-Installation oder ist das Schadcode?


    Wäre für jede Hilfe dankbar


    Danke und Grüße
    Holger

  • Zum hilfreichsten Beitrag springen

    • Hilfreich

    Hallo Holger, willkommen an Bo(a)rd!
    Da hast Du Dir ja gleich ein dickes Ei eingefangen. Nein, der Code gehört nicht zu Joomla und der Strato-Installer erzeugt sowas auch nicht.
    Setz die Seite neu auf, alles andere ist Frickelei. Das sollte der Vorstand wohl akzeptieren (müssen). Andernfalls muss er Geld in die Hand nehmen und die Seite von Profis bereinigen lassen. Hier im Forum tummeln sich Einige (schau in die Signaturen).
    FAQ hast Du sicher schon gelesen?
    Insbesondere Mein Joomla wurde gehackt! Was kann ich tun?

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )

    Hi Jörg


    und vielen Dank für die schnelle Antwort. Leider weiß ich nicht, welche Inhalte der Seite aus der Datenbank gezogen werden und was als Dateien erhalten bleiben musss, denn scheinbar gibt es kein Backup. Heißt: Wenn ich die Seite lösche und neu aufsetze, riskiere ich einen Datenverlust (und bin schuld). Ich werde wohl erst mal versuchen, ein paar Helfer zu aktivieren, die mithelfen, die einzelnen Dateien zu bereinigen. Technisch sollte das recht einfach sein, denn der Code steht im ganz oben, deutlich abgesetzt vom eigentlichen Seitencode.


    Gut schon mal zu wissen, dass der Feind gefunden ist. Wäre das normal gewesen bei Strato-Instalationen, hätte ich weitersuchen müssen.


    Grüße
    Holger

    Bevor Du irgendwas anderes machst:
    Seite sofort vom Netz nehmen! Nicht das Joomla offline schalten, sonfdern komplett per .htaccess-Passwortschutz schützen oder Basisverzeichnis so umbennen, das man das Web nicht mehr aufrufen kann. Weiterhin die FTP-Zugänge löschen oder neue Passwörter setzen. Das gilt auch für weitere Zugänge die es ggf. gibt.
    Hilfe siehe Signatur bzw. Link von "hechtnetz" oder gerne empfehle ich Dir auch einen sehr guten Dienstleister - dann einfach mal per Messenger melden.


    Und noch was: Nimm den Code auf Deinem Posting. Das muss man ja nich noch auf diesem Weg verbreiten.

    Zitat von HolgerGr

    Technisch sollte das recht einfach sein


    Den Zahn versuche ich Dir zu ziehen. Du müsstest die komplette Installation, Datei für Datei, untersuchen ob sie mit einer sauberen Installation identisch ist. Da Du nicht mal weißt, was an Erweiterungen installiert war: ein schier aussichtsloses Unterfangen (ok, ich kann Deine PHP-Kenntnisse nicht einschätzen).
    Selbst wenn Du die DB und die Dateien per FTP ziehen kannst stehst Du vor dem Testproblem.
    Die Profis hier mögen mir widersprechen:
    In einer VM ohne Internetzugang kann man die Seuche ggf. in XAMPP oder UwAmp mal ansehen um sich einen Überblick über die Inhalte zu verschaffen. Per C&P oder aus der DB kann man die Beiträge holen. Bilder könne zwar auch verseucht sein, das ist ggf. eher unwahrscheinlich.
    BTW:
    Wieso sollst Du Schuld sein??? Hast Du die Kompromittierung der Seite zu verantworten? War doch vor Deiner Zeit.


    Edit:
    Nachtrag - Flotte war schneller. Grüß Dich!

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )

    Gefällt mir 1

    @flotte Ich kann den Code leider nicht mehr rausnehmen weil die Bearbeitungszeit abgelaufen ist.


    Die Seite (die ganze Domain) wurde bereits von Strato abgeschaltet. Die Seite ist also nicht mehr online ud kann nichts verbreiten.


    @ Jörg
    Wenn ich nur wüsste welche Version das ist, dann könnte ich die existierenden Dateien mit saubere überschreiben und nur die anderen manuell säubern.


    Es sieht aber so aus, als hätte sich der Schadcode stets immer nur in den Seitenkopf gesetzt, ohne den Rest des eigentlichen Codes zu beeinflussen. Dabei hat er den restlichen (eigentlichen) Code vom Parsen ausgeklammert indem er ein php-Schlusstag davor gesetzt hat.


    Alle Dateien, die ich bisher überprüft habe, wurden auf diese simple Art und Weise verändert. Wie gesagt - ich habe mir als Vergleich eine neue Joomla-Installation von der Jommlaseite gezogen. Die dürfte nur eine höhere Version sein und nicht überall passen.

    Zitat von HolgerGr


    [...] Ich kann den Code leider nicht mehr rausnehmen [...]


    Hab die Mods mal um Hilfe gebeten.


    Zitat von HolgerGr

    @ Jörg
    [...] Wenn ich nur wüsste welche Version das ist, [...]


    Dann hole Dir alles per FTP und geh den Weg mit der VM - falls Strato nicht rigoros gelöscht hat. Die Zugangsdaten zum Kundencenter solltest Du ja haben.

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )

    Zitat von hechtnetz

    Du müsstest die komplette Installation, Datei für Datei, untersuchen ob sie mit einer sauberen Installation identisch ist. Da Du nicht mal weißt, was an Erweiterungen installiert war: ein schier aussichtsloses Unterfangen


    Dafür gibt es Werkzeuge (z.B. diff auf der Kommandozeile, Filezilla hat afaik ebenfalls eine solche Funktion). Die verwendeten Komponenten stehen in der Datenbank.


    Zitat von hechtnetz

    In einer VM ohne Internetzugang kann man die Seuche


    Overkill, das ist nur PHP-Code, der dein lokales System nicht so einfach infizieren kann. Ohne den Code genauer analysiert zu haben würde ich davon ausgehen, dass eine gezielte Interaktion von außen notwendig ist, um ihn dazu zu bringen etwas zu tun.



    Zitat von HolgerGr

    Technisch sollte das recht einfach sein, denn der Code steht im ganz oben, deutlich abgesetzt vom eigentlichen Seitencode.


    Da würde ich nicht drauf wetten. Mit ziemlicher Sicherheit wirst du Schadcode an anderer Stelle finden, möglicherweise auch in der Datenbank, ebenso wie Dateien, die überhaupt nicht zu Joomla! gehören.
    Wenn das keine besondes große Seite ist, wäre aus meiner Sicht das Sinnvollste, die Seite komplett neu aufzusetzen. Die Texte kannst du dir aus der Datenbank holen, Bilder und andere Medien dürften sauber sein.

    Zitat von HolgerGr

    Dabei hat er den restlichen (eigentlichen) Code vom Parsen ausgeklammert indem er ein php-Schlusstag davor gesetzt hat.


    Nein, es wurde nur ein Codeblock, der sowohl Eröffnungs- wie auch Schlußtag enthielt, vor den Joomla!-Code gesetzt, während der Eröffnungstag des Joomla!-Codes erhalten blieb. Könnte der Joomla!-Corecode nicht mehr ausgeführt werden, würde die Kompromittierung schneller auffallen und damit für den Angreifer nutzlos werden.

    Zitat von HolgerGr


    Wenn ich nur wüsste welche Version das ist, ...


    Siehe z.B.:


    wie gekommt man die Joomla version raus die installiert war



    Zitat von HolgerGr


    ...dann könnte ich die existierenden Dateien mit saubere überschreiben und nur die anderen manuell säubern.


    Mußt du dann aber auch mit allen Joomla-Erweiterungen machen und mögliche Backdoor-Dateien und "Backdoor-Benutzer" löschen.



    Siehe z.B. auch noch:


    Gehackte Webseiten - Erkennen, Bewerten, Bereinigen