Bedrohung entdeckt

  • Hallo Leute,

    ich habe schon wieder (aber wieder nur auf meinem Rechner) eine "Bedrohung" auf einer meiner Websites.

    Virustotal gibt mir einen "Clean" Report wieder - findet also nix. Mit Handy und Kram geht auch alles einwandfrei.
    es sind u.a. auch Teile von z.b. Akeebabackup "infiziert" -

    meistens aber .js files in /media/fef/...

    hat jemand eine Idee?
    All Inkl erkennt aktuell keine Bedrohung in dem Acccount

  • Mir fällt zunächst auf, dass das administrator-Verzeichnis nicht mit zusätzlichem Passwortschutz über den Server abgesichert ist. Das wäre ein wichtiger Grundschutz, den du unbedingt noch einrichten solltest.


    Schau dir mal das Datum der jeweiligen Dateien an. Ist das auffällig?

    Und vergleiche auch den Inhalt mal mit den Originaldateien? Gibt es wirklich Unterschiede?


    Wenn die Seite wirklich infiziert ist, dann Flottes Liste abarbeiten!

    FAQ/Support - Joomla!/WordPress wurde gehackt - was tun? - fc-hosting.de | Webhoster

  • ich habe schon wieder

    Und wie bist du letztes mal vorgegangen, um sicher zu gehen? RE: Virenmeldung auf dem Server


    Ich meine das so: Wenn du Meldungen bekommst und nicht näher prüfst, was in deiner Seite ggf. los ist, welchen Sinn macht es dann, wenn du es uns jedesmal hier im Forum erneut meldest?


    Virenscanner entdecken nicht alles oder auch wechselweise oder auch nur False-Positives, aber, wenn sie was entdecken, sollte man halt auf der Seite mühsam prüfen (z.B. durch Dateiabgleiche), ob was da ist, und, wenn verlässlich nicht, den Virenscanner vielleicht mal umkonfigurieren. Die Meldung besagt ja, dass es deine Seite ist, die angeblich was ausliefert...

  • Sehr guter Einwand.
    Das letzte mal habe ich mich mit AVAST unterhalten und auch das false positive angesprochen. Das konnten diese "verneinen" -
    Ich habe danach bei den 3 Seiten die betroffen waren komplett neue Hostings angelegt und Backups eingespielt. Das ging soweit "ganz" gut, da auf den Seiten nicht die Welt passiert war. Bei der hier ist ... machbar... aber wäre nervig. sagen wir es mal so.
    Bei den letzten "Meldungen" war es - (hatte da auch lange mit all inkl geredet) wohl ein "fehlgeschlagener" Versuch in ein WP Backen rein zu kommen. Die Dateien, die dafür verwendet wurden, lagen aber immer noch rum und haben dann den scanner ausgelöst. Was mich halt etwas "stutzig" gemacht hat - oder macht -ist, dass kein anderer Rechner, ausser meine beiden (PC & LAPPI) diese Warnung bekamen. Zumindest kein mir zugänglicher.

  • Bei den letzten "Meldungen" war es - (hatte da auch lange mit all inkl geredet) wohl ein "fehlgeschlagener" Versuch in ein WP Backen rein zu kommen. Die Dateien, die dafür verwendet wurden, lagen aber immer noch rum und haben dann den scanner ausgelöst.

    Moin


    Wenn fremde Dateien auf Deinem Webspace liegen, dann war das kein Versuch die Seite zu kompromittieren, sondern bereits erfolgreich. In solchen Fällen kommst Du nicht umhin den gesamten Webspace gewissenhaft nach Schadcode zu kontrollieren, alle Zugangsdaten zu ändern und die Schwachstelle zu finden und zu schließen. Alles andere wird zu einer Endlosschleife. Außerdem würde ich alle Computer / Geräte kontrollieren bei denen Zugangsdaten hinterlegt waren und auch dort nach Viren / Trojanern suchen, sowie die Passwörter neu setzen.


    Kopiert man sich Sicherungen auf den eigenen Rechner springen die Virenscanner gerne auf PHP-Shells oder die Payload einer Attacke an. In Javascripten auf dem Webspace wird hingegen gerne mit Base64 codierten Bestandteilen gearbeitet die sich auch mitten in einer Datei befinden können. Wie gesagt kommst Du nicht um eine genaue Kontrolle des Webspace herum. Betrifft übrigens potenziell alle Webseite die mit ihn diesem Paket lagen und zu denen man per PHP oder FTP "überspringen" konnte.


    Gruß Jan

  • Hey Jan - das "gewissenhafte Kontrollieren des Webspaces" schreibt sich ja immer so toll - aber mal im Ernst: wie will man (ich glaube Joomla hat aktuell 64000 Einzeldateien) händisch, gewissenhaft kontrollieren und abschätzen, ob diese zum System gehören?! Das geht mir nicht ein. Bzw. kann ich mir nicht vorstellen, wie das händisch von statten gehen soll.

  • Hey Jan - das "gewissenhafte Kontrollieren des Webspaces" schreibt sich ja immer so toll - aber mal im Ernst: wie will man (ich glaube Joomla hat aktuell 64000 Einzeldateien) händisch, gewissenhaft kontrollieren und abschätzen, ob diese zum System gehören?! Das geht mir nicht ein. Bzw. kann ich mir nicht vorstellen, wie das händisch von statten gehen soll.

    Niemand erwartet das jeder tausende von Dateien und dessen Inhalt kennt, aber zumindest das Schema wie diese im System abgelegt werden und was wo keinesfalls hingehört. Zum Beispiel haben ausführbare PHP-Dateien oder Javascripte nichts im Image- und dessen Unterverzeichnissen zu suchen. CSS und HTML kannst Du aussortieren, weil nicht für Angriffe nutzbar. Lässt Du den Core frisch installieren hast Du ein aktuelles Dateidatum und kannst z.B. per FileZilla alle älteren Dateien auflisten lassen usw. Und natürlich das Vergleichen von Dateien / Verzeichnissen (Diff) das jsc_01 genannten hat.


    Bringt aber alles nichts, wenn die Aufgaben nicht alle abgearbeitet wurden. Ist der Rechner des Kunden mit einem Trojaner infiziert, bringt es nichts die Webseite zu bereinigen, ist das FTP-Passwort im Umlauf muss ich den Kunden daran hindern das alte Passwort aus Bequemlichkeit wieder zu setzen usw.


    Jedenfalls könnte man hier einen Roman schreiben.


    Gruß Jan

  • Pest - Spannendes Thema.
    Ähm- zur Beruhigung. Account / PW / dieses ganze gerödel wurde natürlich geändert.
    Nach der Installation des letzten Updates für den Virenscanner kommt auch keine Meldung mehr - Daten hatte ich ja zuletzt ein Backup eingespielt gehabt. Alles seltsam. Man könnte fast meinen der Virenscanner hat so was wie einen Cache.

    Wie auch immer. Generell wäre eine Art "Leitfaden" für so einen Fall echt was für die Dokumentation... ist - für mich - ein spannendes Thema. Auch WIE man da rein kommen kann.



  • Wie auch immer. Generell wäre eine Art "Leitfaden" für so einen Fall echt was für die Dokumentation... ist - für mich - ein spannendes Thema. Auch WIE man da rein kommen kann.


    JoomlaWunder im #2 hat der Link für eine Schritt für Schritt Anleitung gegeben.


    Wenn die Seite wirklich infiziert ist, dann Flottes Liste abarbeiten!

    https://www.fc-hosting.de/supp…ehackte-website-hilfe.php