Schadcode in Bildern und Texten?

  • Hallo!

    Im Sommer 2020 war die Joomla!-Site zauberflora.de gehackt worden. Der Hoster machte den Webmaster darauf aufmerksam, dass die Seite Spam-Mails versende. Daraufhin barg der Webmaster Bilder und Texte und gab dann den gesamten Webspace zur Löschung/Kündigung frei. Ich möchte jetzt die Site unter zauberflora.com wiederherstellen. Die Bilder und Texte liegen mir auf einer CD-ROM vor. Ist es möglich, dass in diesen Bildern und Texten Schadcode enthalten ist? search Ein Virenscan schlägt nicht an. Ich bitte um eure Einschätzung.

    Grüße! pardon

  • Bilder können EXIF-Daten enthalten, die man als "Helferleins" für Hacks bezeichnen kann. Es ist im Normalfall anderer Code sonstwo nötig, um damit was anfangen zu können. Und das Bild muss eben aus einer Quelle stammen, wo entsprechende EXIF-Dateien untergebracht wurden oder eben via weiterem Schadcode. Soweit ich mich erinnere, hat (oder hatte) z.B. die PhocaGallery ein Feature drinnen, EXIF beim Upload zu entfernen.


    Gerne werden in Bilderordnern auch "nur scheinbare" Bilder abgelegt, die beim flüchtigen Durchscrollen nicht sofort ins Auge schießen. Bei Joomla sind das dann meist PHP-Dateien mit doppelter Dateiendung wie ich-bin-ein-bild-und-schoen.jpg.php. Die wäre dann direkt ausführbar. Theoretisch, vielleicht auch praktisch, kann ebenso eine ich-bin-ein-bild-und-schoen.jpg ausführbaren Code enthalten (Dateiendungen sind ja nix verlässliches. Deshalb findet ja auch meist bei regulären Medien-Uploads noch eine MIME-Prüfung statt.). Im Normalfall, auf einem normalen Webspace, müsste aber weiterer Schadcode vorliegen, um den Code "abzuholen" und auszuführen.


    Nur nebenbei: Der eine oder andere Provider-Scanner reklamiert auch letztlich harmlose Überbleibsel von ehemaligen Hacks. Oft GIFs und/oder Texte, die aber nur die Identität von (meist) Hacker-Kids enthalten. "Hacked by".


    XML-Dateien finden sich auch gelegentlich, die aber ebenfalls alleinstehend nicht funktionieren, weil sie zusätzlichen Code sonstwo benötigen, um Sinn zu machen.


    Neulich hatte ich eine Seite mit 1000en sich stetig vermehrenden Helferdateien hier und dort, auch im Bilderordner, ebenfalls Text, die mit einem Punkt begannen. Je nach Einstellungen im Betriebssystem oder auch FTP-Client werden die ja ohne Zutun gar nicht in der Dateiübersicht angezeigt. Darunter waren viele mit Dateiendung *.ini oder ganz ohne. Da auf Servern solche "Vorne-Punkt-Dateien" nicht unüblich sind, wurde wohl (erfolgreich) spekuliert, dass man die "wegscrollt".

  • Bilder werden eher selten gescannt bei den Hostern denke ich.
    In der Regel gibt es eine Auswahl an Endungen die gescannt werden. So machen wir es jedenfalls.

    Unabhängig davon erkennen die typischen Scanner nur in seltenen Fällen Schadcode - es sei denn es sind die typischen PHP-Shells und ähnliches. Jedenfalls gilt das für die signaturbasierten Scanner. Andere Techniken sind auf Dateiebene meist nicht im Einsatz, weil man auch auf die Belastung eines Servers achten muss.

    Hacks fallen eher durch Spamming, erhöhten Traffic, Last etc. auf.

  • Um wieviele Datei handelt es sich denn ? Der Name der Webseite läßt jetzt nicht auf hunderte schließen ? Dann kann man (DU) sie sich doch sicherheitshalber mal alle anschauen ??

    Grundsätzlich beim Neuaufbau dann nur das neu hochladen was du wirklich brauchst und nicht ggf. den ganzen Ordner nur das du nicht suchen musst...
    (ansonsten haben dier die Profis ja schon tolle Antworten gegeben... )

  • Falls die Bilder mit Schadcode versehen waren, gibt es eine sehr große Chance, dass die Virenscanner des Hosters dies auch bemerkt hätten.

    Daher gehe ich mal davon aus, dass die Bilder sauber sind.

    Klares Nein zu dieser Aussage. Nachrichten von Providern, dass Hacks gefunden wurden, sind lediglich als Hinweis zu bewerten, dass die Seite auf Herz und Nieren durchgeprüft werden muss. Eine Nicht-Nachricht andererseits ist keine verlässliche Aussage. Oben von mir erwähnte Seite wurde bspw. nie gemeldet vom Provider ;) Witzigerweise erst vom windowseigenen Scanner, dem ich das gar nicht zugetraut hätte ;) Der war so beschäftigt, dass der ganze Pre-Checker-Rechner von mir in die Knie gegangen ist ;) Aber, wie immer, auch der hat nicht alles gefunden.


    Wer also weiß, dass Daten/Dateien aus einer gehackten Seite stammen, kommt nicht drumrum 3fach hinzuschauen.

  • Klares Nein zu dieser Aussage. Nachrichten von Providern, dass Hacks gefunden wurden, sind lediglich als Hinweis zu bewerten, dass die Seite auf Herz und Nieren durchgeprüft werden muss. Eine Nicht-Nachricht andererseits ist keine verlässliche Aussage. Oben von mir erwähnte Seite wurde bspw. nie gemeldet vom Provider ;) Witzigerweise erst vom windowseigenen Scanner, dem ich das gar nicht zugetraut hätte ;) Der war so beschäftigt, dass der ganze Pre-Checker-Rechner von mir in die Knie gegangen ist ;) Aber, wie immer, auch der hat nicht alles gefunden.


    Wer also weiß, dass Daten/Dateien aus einer gehackten Seite stammen, kommt nicht drumrum 3fach hinzuschauen.

    Richtig aber wir reden vom Upload und dort werden die Dateien gescannt und bei Bedarf auch das Upload providerseitig abgebrochen.

    Die Dateiendungen spielen dabei natürlich die hauptsächliche Rolle. search

  • Richtig aber wir reden vom Upload und dort werden die Dateien gescannt und bei Bedarf auch das Upload providerseitig abgebrochen.

    das kann man nicht verallgemeinern!


    Zitat

    Wer also weiß, dass Daten/Dateien aus einer gehackten Seite stammen, kommt nicht drumrum 3fach hinzuschauen.

    Das dagegen auf jeden Fall!!