WBCE CMS – Way Better Content Editing.
Du bist nicht angemeldet.
Hallo.
Ich mache gerade einen Serverwechsel. Und beim raufspielen auf den neuen Server habe ich bereits zweimal folgende Meldung erhalten:
""Es wurde versucht, einen Virus auf Ihren Account **** hochzuladen. Das System hat diesen Upload verhindert. Ein kurzer Auszug aus dem Logfile mit entsprechender IP-Adresse:
Jul 1 14:02:54 dd***** proftpd[*****]: ***** (*****[*****]) - USER *****: Login successful.
Jul 1 14:21:39 dd***** proftpd[*****]: ****** (*****[*****]) - mod_clamav/0.11: Virus 'php_obfus.as1705.06.UNOFFICIAL' found in '/www/htdocs/*****/*****.at/media/news-fotos/2015/weltgesund/array_merge.php'
Bitte beachten Sie, dass der Upload mit Ihrem FTP-Benutzer ***** durchgeführt wurde. Ihre Zugangsdaten wurden also sehr wahrscheinlich von einem Virus oder Trojaner auf einem Ihrer Computer ausgelesen, auf dem die FTP-Zugangsdaten verwendet wurden oder gespeichert sind.
Wenn diese FTP-Zugangsdaten aber in einem CMS auf Ihrem Account gespeichert sind, könnten sie auch dort durch eine Sicherheitslücke ausgelesen worden sein.""
Hatte das von euch schon mal jemand?
Wbce 1.5.3
Offline
(ich habe jetzt keine spezielle Ahnung von deiner Installation und deinen Erweiterungen, aber im Media-Ordner sollten eigentlich keine besonderen php-Dateien liegen ... ich denke, das gehört da nicht hin ...)
Offline
Das ist korrekt, bis auf automatisch erzeugte index.php-Dateien in Unterverzeichnissen gehören i.d.R keine PHP-Dateien in Bilderverzeichnisse im media-Ordner. Es ist daher leider davon auszugehen, dass die Seite auf dem Ausgangssystem gehackt wurde.
Der Upload, in dessen Zuge der Virus entdeckt wurde, erfolgt ja aktuell durch Dich, deshalb ist der Hinweis auf den ausgelesenen FTP-Account irreführend.
Da nicht auszuschließen ist, dass sich irgendwo weitere Manipulationen / Backdoors befinden, über die die hochgeladene Seite dann wieder kompromitiert wird, solltest Du auf keinen Fall mit der Übertragung der Dateien fortfahren, sondern stattdessen die Seite so weit wie möglich neu aufsetzen, d.h.
- Neue Installation WBCE + neue Installation der auf der Webseite verwendeten Module
- auf keinen Fall alte Benutzernamen /Passworte verwenden, sondern neu hinterlegen
- Die lokal gespeicherten Inhalte des Medienverzeichnisses durchsuchen, alle PHP-Dateien löschen und nur die Bilder, PDFs etc. hochladen
- Das Frontendtemplate sehr gründlich im Quellcodeeditor (Notepad++ o.ä.) in Augenschein nehmen und auf verdächtigen Code (iframe, Javascript,...), der da nicht reingehört, untersuchen und ggf. davon bereinigen, bevor Du es hochlädst
- den Datenbandump einspielen
- Das Admin-Tool Sysinfo installieren und die Accessfiles (die Dateien im Verzeichnis /pages) neu generieren (Reiter "Pages" im Tool)
- wenn alles läuft, mittels CronCheck die Seite permanent überwachen
Es ist schwer festzustellen, wie der Virus ursprünglich ins System geraten ist. Der Verzeichnisname /news-fotos/2015/ deutet darauf hin, dass es ja schon eine ältere Seite ist, sodass außer über serverseitige Sicherheitslücken, unsichere FTP-Passworte auch unsichere alte Modulversionen als Einfallstor infrage kommen. Du solltest daher auf keinen Fall versuchen, irgendwelche Module, die (im übertragenen Sinne) zuletzt 2006 aktualisiert wurden, wieder zu installieren.
Gut möglich ist auch, dass die Datei dort schon seit Jahren liegt und eben erst jetzt im Zuge des Uploads entdeckt wurde. Ich gehe daher nicht davon aus, dass es sich um ein generelles Problem mit dem aktuellen WBCE handelt.
Beitrag geändert von florian (01.07.2018 14:35:52)
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Alles klar, ja das ist mir klar, das diese php-Dateien da nichts verloren haben.
So alt ist die Seite noch gar nicht, wurde alles Anfang des Jahres neu angelegt.
Ich muss mir das wirklich genauer anschauen.
Gut, dann kommt jetzt wohl viel Arbeit auf mich zu. Also ich werde mir alle Module neu runterladen, und die Seite neu aufsetzen.
Hilft eh nichts.
Hab auch alles durchgeschaut, diese beiden php-Dateien waren in zwei Ordner drin.
Wbce 1.5.3
Offline
Was für ein Tagesdatum haben denn die verdächtigen PHP-Dateien? Das lässt sich zwar manipulieren, ist aber manchmal ein Anhaltspunkt. Wenn Du aus dem betr. Zeitraum noch Logfiles hast, könntest Du schauen, ob die Dateien per FTP hochgeladen wurden oder ob es sonst verdächtige Aktivitäten in dem Zeitraum auf der Seite gab.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Ah ok, ja die sind anscheinend noch vor der Umstellung, und zwar aus dem letzten Jahr.
Allerdings ist das jetzt eigenartig, weil ich ja besagte Seite erst heuer neu aufgesetzt habe, und sämtliche
Inhalte neu gemacht habe, da die alte Seite auf joomla war.
Wobei, wie du sagst, das Datum lässt sich ja manipulieren.
Wbce 1.5.3
Offline
Wenn Du die alte Joomla-Seite noch laufen hattest, während Du die neue WBCE-Seite parallel auf demselben System aufgesetzt hast, könnten die Dateien durch die alte Joomla-Seite auf die Seite geraten sein. Oder auch, wenn die joomla-Seite noch als Archiv irgendwo weiter vorgehalten wurde.
https://www.google.com/search?q=php_obf … UNOFFICIAL
Insofern könntest Du - ohne Gewähr - auch doch die WBCE-Seite ganz normal übertragen und eben nur eine Zeitlang sehr aufmerksam beobachten, ob sich da irgendwelche komischen Dinge tun.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Oh ja, die alte Joomla Seite ist da noch drauf! Die hau ich jetzt mal runter.
Wbce 1.5.3
Offline
Das sehe ich öfter mal: Alte Joomla oder Wordpress Installation immer noch auf dem Webspace.
Das ist brandgefährlich!
Man macht ja keine Updates mehr, und die alten Sicherheitslücken sind immer da.
Ja das war mir eh eine Lehre!
Also das Ganze ist mit ziemlich großer Sicherheit von der alten Joomla-Seite ausgegangen.
Ich habe, was mir jetzt nach einiger Zeit Suche aufgefallen ist, einiges vom Joomla-Zeugs in der neuen wbce-Seite drin.
Z. B. sind da komplette Module von Joomla (foxcontact, sige) im Plugin-Ordner unter Content drin.
Also der Umzug wird in meinem Fall auf jeden Fall eine Neuinstallation von wbce!
Wbce 1.5.3
Offline
Z. B. sind da komplette Module von Joomla (foxcontact, sige) im Plugin-Ordner unter Content drin.
Oh je. Ja, dann führt wohl in der Tat kein weg an einem "sauberen" Neustart vorbei.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Das ist kein Drama.
Die Datenbank ist in aller Regel nicht betroffen.
Du machst eine jungfräuliche Installation per FTP. Mit stefeks addon-monitor (Admin Tools), schaust du, welche Module fehlen, die schiebst du nach. EV Upgrade Script aufrufen.
Ok, aber die Beiträge und das alles muss ich schon per Hand neu machen, oder?
Wbce 1.5.3
Offline
Nein, das ist ja der Sinn beim Wiedereinspielen des Datenbankdumps. Die Beiträge stehen da drin.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Beiträge? Was meinst du damit?
Da gibt es ein Script, das alle Access-Files neu anlegt.
Bin schon im Handy-Modus, hab's nicht zur hand.
Zum Anlegen der Accessfiles siehe Post weiter oben (Admin-Tool "Sysinfo" -> Pages).
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Du kannst mir FTP und Admin Zugang per PN schicken, ich mach sowas dauernd.
An grindbatzn, grindmobil ist Handy, da hab nix davon.
Ah ok, das hab ich zu schnell gelesen.
Ja super, dann versuch ich das mal.
Danke grindmobil für dein Angebot, ich versuch das mal selber, sollte ich ja doch hinbekommen.
Falls nicht, würde ich mich bei dir melden.
Wbce 1.5.3
Offline
Schau dir mal den Inhalt der Datei an.
meistens gibt es einen verschlüsselten Code.
das funktioniert oft so, dass diese Datein andere beim Aufruf umschreiben, die dann als spammer verwendet werden, dann wirst deppad beim suchen.
besser neu und sauber aufsetzen.
ansonsten nach verschlüsselten Inhalten suchen....
Offline