Kaspersky meldet: HEUR:Trojan.Script.Generic

  • Hallo!


    Unsere Seite http://www.twilight-events.com wird seit Kurzem offensichtlich zum Einschleusen von Schadsoftware verwendet.


    Die Daten selbst auf dem Webserver sind sauber (https://www.virustotal.com/de/…5fa9bf178572e5f/analysis/), alle plug-ins und Joomla selbst (innerhalb der 2.5.x Version) sind aktuell. Die verwendete PHP ist Version 5.4.


    Selbstverständlich bin ich mir bewußt, daß 2.5.x schon lange EOL ist, leider ist uns nicht möglich (jetzt aufgrund dieser Situation) eine kurzfristige Migration auf J3.x durchzuführen.


    Dank dieses Beitrags: Sicherheitslücke in Joomla 2.5.28 und alle Vorgängerversionen sind unsicher ! wurde ich auf den hotfix (https://docs.joomla.org/Securi…s_for_Joomla_EOL_Versions) aufmerksam und habe diesen eingespielt. Leider ohne den gewünschten Erfolg.


    Gibt es noch andere Möglichkeiten bei der verwendeten Joomla Version 2.5.28, diesem Problem Herr zu werden?


    Besten Dank im Voraus.
    Gruß,
    toreador

  • Ich habe soeben für unseren akuten Fall die Lösung von einem netten Mitarbeiter unseres Webhosts erhalten.


    Er teilte mir mit, daß die folgenden beiden Dateien mit malware infiziert seien.
    /includes/defines.php
    /administrator/includes/defines.php


    Nachdem ich diese mit den gleichnamigen Dateien aus einem sauberen installations-package ersetzt habe, ist der Warnhinweis verschwunden, und die Seite wieder aufrufbar.

  • Du kannst mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass es auf dem Server noch weitere Malware-Skripte und Backdoors gibt, die du jetzt übersehen hast und das Spiel in ein paar Stunden wieder von vorne losgeht. Am besten mal hier Schritt für Schritt durchgehen:
    https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php


    Oder Alternativ nen Profi beauftragen.

  • Außerdem gibt es in Joomla 2.5.28 eine zweite Sicherheitslücke die nur mit


    SessionHardening25v1.zip


    geschloßen werden kann.


    Siehe:


    https://docs.joomla.org/Securi…s_for_Joomla_EOL_versions


    2 Sicherheitslücken in Joomla 2.5.28 und alle Vorgängerversionen sind unsicher !

  • Vielen Dank Euch für Eure Antworten!


    Wir haben von unserem host jetzt ein ftp backup von vor dem Hack einspielen lassen.
    Ich habe die beiden Webseiten offline geschaltet und sämtliche Passwörter (inkl. ftp) neu gesetzt.


    Im nächsten Schritt sollten nun alle updates eingespielt werden.
    Dummerweise gehen beide Joomla Installationen davon aus aktuell zu sein (obwohl sie und sämtliche plug-ins es natürlich nicht sind).


    Offensichtlich (das war mir zuvor nicht bewußt) stehen die Versionsnr. auch in den Datenbanken, welche nicht mit aktualisiert wurden.
    Das war uns auch sehr recht, da einige Content-Bearbeitungen in der Zwischenzeit durchgeführt wurden.


    Gibt es da eine Lösung, daß man z.B. Joomla forcieren kann unabhängig von den Datenbankeinträgen nach updates suchen zu sollen?


    Ansonsten fiele mir nur die etwas sperrige Lösung ein, ein passendes db-backup vom Zeitpunkt des verwendeten ftp-backups einzuspielen, im backend alle updates durchzuführen, und dann wieder ein neueres db-backup zu reaktivieren.


    Ich wäre für jeden Tipp sehr dankbar.

  • Hallo,


    Zitat

    Offensichtlich (das war mir zuvor nicht bewußt) stehen die Versionsnr. auch in den Datenbanken, welche nicht mit aktualisiert wurden.
    Das war uns auch sehr recht, da einige Content-Bearbeitungen in der Zwischenzeit durchgeführt wurden.


    Wenn Du z.B. Beiträge bearbeitest, abspeicherst, ist es ja trotzdem in der DB.
    Die Datenbankversion zeigt keine Unterversion, sondern: 3.4.0


    Liebe Grüße, Christine

  • Erneut Danke für Eure Antworten.


    Wenn ich das richtig verstehe, hängt das u.U. doch nicht damit zusammen, daß die db nicht ebenfalls auf den alten Stand zurückgesetzt wurde.


    Ich dachte dies wäre ein leicht zu lösendes Unterfangen, aber das Thema wäre wohl in einem neuen thread besser aufgehoben?!
    Wenn ein Moderator das lieber verschieben möchte...?!


    Ein manuelles update ist natürlich grundsätzlich möglich, klar. An der Stelle würde ich gerne die Frage einschieben, wie dies bei plug-ins etc. ist. Wird da einfach die neue (vollständige) Version rübergebügelt? Denn updates in der Form habe ich noch nicht gesehen.


    Grundsätzlich ist es mir aber ein Bedürfnis den Status quo wieder herzustellen, sprich daß die automatische Update-Suche sowohl für Joomla als auch für die installierten Erweiterungen wieder korrekt funktioniert.


    Der Übersichtlichkeit halber fasse ich nochmal kurz das ganze zusammen.


    Es geht um zwei Domains - eine auf Joomla 2.5.x (ja ganz schnell migrieren ist mir bewußt), die andere Version 3.x.
    Beide liegen auf dem selben ftp-space in unterschiedlichen Verzeichnissen.
    Nach dem malware-Angriff wurde heute ein ftp-backup (des gesamten accounts, also beide Seiten betroffen) von Anfang Dezember eingespielt - aber kein db-backup.
    Im Laufe des Dezembers wurden etliche content-Änderungen durchgeführt, welche wir ungerne wiederholen wollen, daher würden wir auch gerne weiterhin und grundsätzlich auf das Einspielen eines zeitlich passenden db-backups (von Anfang Dezember) verzichten.
    Auch wurden die beiden Joomla Versionen Mitte Dezember geupdated, wie auch die Erweiterungen.


    Nun ist eben der Stand, daß beide Joomla-Installationen melden sie und alle Erweiterungen seien aktuell.
    Siehe screenshots:





    Ich hoffe es hat Jemand eine Idee wie das wieder gerade zu biegen ist.


    Und schonmal vielen Dank für Eure Geduld, dies jetzt hier alles gelesen zu haben. :)

  • Die Wahrscheinlichkeit das Du inzwischen wieder gehackt wurdest ist sehr sehr hoch. Nicht einfach hochladen....
    Du mußt das Verzeichnis zB mit einer htaccess sichern und dann hochladen. In dem Moment wo du das hochlädst reichen 10 Sekunden und zack wieder gehackt. Ich hatte da mal ein Tutorial geschrieben und darin ist ein htaccestool.


    http://www.web-worker-berlin.d…-gehackt-was-soll-ich-tun

  • Danke Webworker Berlin für Deinen Einwurf. Ich habe mir Deine Seite angesehen und auch zur Kenntnis genommen daß Du diesbezüglich Serviceleistungen anbietest. Ich würde ggf. auf Dich zu kommen.


    Aber all das hilft mir leider nicht bei dem aktuellen Problem weiter, welches sich auch wieder auftun würde, wenn ich wie von Dir empfohlen das backup nochmals einspiele und sofort via script dicht mache.
    Die automatische Update-Suche würde genauso wenig funktionieren und ich stände am selben Punkt.


    Nochmals als Nachtrag: Ich habe selbstverständlich den Cache gelöscht, dennoch denkt joomla es sei aktuell.

  • Code
    1. Warning: Creating default object from empty value in /www/htdocs/w00e6d11/twilight/libraries/joomla/updater/adapters/collection.php(101) : eval()'d code on line 1
    2. Warning: Creating default object from empty value in /www/htdocs/w00e6d11/twilight/libraries/joomla/updater/adapters/collection.php(101) : eval()'d code on line 1


    poste mal bitte die libraries/joomla/updater/adapters/collection.php



    Ich denke das liegt am Hack

  • Als die Seiten gehackt waren hat das Updaten aber auch sauber funktioniert. (bis zuletzt)
    Diese Situation besteht erst seit der Wiederherstellung des backups. Die supporter meines webhosts meinten dies würde wohl daran liegen, daß die db nicht mit "zurückgesetzt" wurde - was ja hier verneint wurde.