WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 01.07.2018 13:38:18

daveland
Member

Virus beim hochladen

Hallo.
Ich mache gerade einen Serverwechsel. Und beim raufspielen auf den neuen Server habe ich bereits zweimal folgende Meldung erhalten:

""Es wurde versucht, einen Virus auf Ihren Account **** hochzuladen. Das System hat diesen Upload verhindert. Ein kurzer Auszug aus dem Logfile mit entsprechender IP-Adresse:

Jul  1 14:02:54 dd***** proftpd[*****]: ***** (*****[*****]) - USER *****: Login successful.
Jul  1 14:21:39 dd***** proftpd[*****]: ****** (*****[*****]) - mod_clamav/0.11: Virus 'php_obfus.as1705.06.UNOFFICIAL' found in '/www/htdocs/*****/*****.at/media/news-fotos/2015/weltgesund/array_merge.php'

Bitte beachten Sie, dass der Upload mit Ihrem FTP-Benutzer ***** durchgeführt wurde. Ihre Zugangsdaten wurden also sehr wahrscheinlich von einem Virus oder Trojaner auf einem Ihrer Computer ausgelesen, auf dem die FTP-Zugangsdaten verwendet wurden oder gespeichert sind.
Wenn diese FTP-Zugangsdaten aber in einem CMS auf Ihrem Account gespeichert sind, könnten sie auch dort durch eine Sicherheitslücke ausgelesen worden sein.""

Hatte das von euch schon mal jemand?


Wbce 1.4

Offline

#2 01.07.2018 13:57:29

jean
Member

Re: Virus beim hochladen

(ich habe jetzt keine spezielle Ahnung von deiner Installation und deinen Erweiterungen, aber im Media-Ordner sollten eigentlich keine besonderen php-Dateien liegen ... ich denke, das gehört da nicht hin ...)

Offline

#3 01.07.2018 14:26:51

florian
Administrator

Re: Virus beim hochladen

Das ist korrekt, bis auf automatisch erzeugte index.php-Dateien in Unterverzeichnissen gehören i.d.R keine PHP-Dateien in Bilderverzeichnisse im media-Ordner. Es ist daher leider davon auszugehen, dass die Seite auf dem Ausgangssystem gehackt wurde.
Der Upload, in dessen Zuge der Virus entdeckt wurde, erfolgt ja aktuell durch Dich, deshalb ist der Hinweis auf den ausgelesenen FTP-Account irreführend.
Da nicht auszuschließen ist, dass sich irgendwo weitere Manipulationen / Backdoors befinden, über die die hochgeladene Seite dann wieder kompromitiert wird,  solltest Du auf keinen Fall mit der Übertragung der Dateien fortfahren, sondern stattdessen die Seite so weit wie möglich neu aufsetzen, d.h.
- Neue Installation WBCE + neue Installation der auf der Webseite verwendeten Module
- auf keinen Fall alte Benutzernamen /Passworte verwenden, sondern neu hinterlegen
- Die lokal gespeicherten Inhalte des Medienverzeichnisses durchsuchen, alle PHP-Dateien löschen und nur die Bilder, PDFs etc. hochladen
- Das Frontendtemplate sehr gründlich im Quellcodeeditor (Notepad++ o.ä.) in Augenschein nehmen und auf verdächtigen Code (iframe, Javascript,...), der da nicht reingehört, untersuchen und ggf. davon bereinigen, bevor Du es hochlädst
- den Datenbandump einspielen
- Das Admin-Tool Sysinfo installieren und die Accessfiles (die Dateien im Verzeichnis /pages) neu generieren (Reiter "Pages" im Tool)
- wenn alles läuft, mittels CronCheck die Seite permanent überwachen

Es ist schwer festzustellen, wie der Virus ursprünglich ins System geraten ist. Der Verzeichnisname /news-fotos/2015/ deutet darauf hin, dass es ja schon eine ältere Seite ist, sodass außer über serverseitige Sicherheitslücken, unsichere FTP-Passworte auch unsichere alte Modulversionen als Einfallstor infrage kommen. Du solltest daher auf keinen Fall versuchen, irgendwelche Module, die (im übertragenen Sinne) zuletzt 2006 aktualisiert wurden, wieder zu installieren.

Gut möglich ist auch, dass die Datei dort schon seit Jahren liegt und eben erst jetzt im Zuge des Uploads entdeckt wurde. Ich gehe daher nicht davon aus, dass es sich um ein generelles Problem mit dem aktuellen WBCE handelt.

Last edited by florian (01.07.2018 14:35:52)

Offline

#4 01.07.2018 14:36:27

daveland
Member

Re: Virus beim hochladen

Alles klar, ja das ist mir klar, das diese php-Dateien da nichts verloren haben.
So alt ist die Seite noch gar nicht, wurde alles Anfang des Jahres neu angelegt.
Ich muss mir das wirklich genauer anschauen.

Gut, dann kommt jetzt wohl viel Arbeit auf mich zu. Also ich werde mir alle Module neu runterladen, und die Seite neu aufsetzen.
Hilft eh nichts.

Hab auch alles durchgeschaut, diese beiden php-Dateien waren in zwei Ordner drin.


Wbce 1.4

Offline

#5 01.07.2018 14:39:54

florian
Administrator

Re: Virus beim hochladen

Was für ein Tagesdatum haben denn die verdächtigen PHP-Dateien? Das lässt sich zwar manipulieren, ist aber manchmal ein Anhaltspunkt. Wenn Du aus dem betr. Zeitraum noch Logfiles hast, könntest Du schauen, ob die Dateien per FTP hochgeladen wurden oder ob es sonst verdächtige Aktivitäten in dem Zeitraum auf der Seite gab.

Offline

#6 01.07.2018 14:51:12

daveland
Member

Re: Virus beim hochladen

Ah ok, ja die sind anscheinend noch vor der Umstellung, und zwar aus dem letzten Jahr.
Allerdings ist das jetzt eigenartig, weil ich ja besagte Seite erst heuer neu aufgesetzt habe, und sämtliche
Inhalte neu gemacht habe, da die alte Seite auf joomla war.

Wobei, wie du sagst, das Datum lässt sich ja manipulieren.


Wbce 1.4

Offline

#7 01.07.2018 14:56:20

florian
Administrator

Re: Virus beim hochladen

Wenn Du die alte Joomla-Seite noch laufen hattest, während Du die neue WBCE-Seite parallel auf demselben System aufgesetzt hast, könnten die Dateien durch die alte Joomla-Seite auf die Seite geraten sein. Oder auch, wenn die joomla-Seite noch als Archiv irgendwo weiter vorgehalten wurde.
https://www.google.com/search?q=php_obf … UNOFFICIAL

Insofern könntest Du - ohne Gewähr - auch doch die WBCE-Seite ganz normal übertragen und eben nur eine Zeitlang sehr aufmerksam beobachten, ob sich da irgendwelche komischen Dinge tun.

Offline

#8 01.07.2018 14:59:23

daveland
Member

Re: Virus beim hochladen

Oh ja, die alte Joomla Seite ist da noch drauf! Die hau ich jetzt mal runter.


Wbce 1.4

Offline

#9 01.07.2018 16:50:01

grindbatzn
Guest

Re: Virus beim hochladen

Das sehe ich öfter mal: Alte Joomla oder Wordpress Installation immer noch auf dem Webspace.
Das ist brandgefährlich!
Man macht ja keine Updates mehr, und die alten Sicherheitslücken sind immer da.

#10 01.07.2018 18:48:59

daveland
Member

Re: Virus beim hochladen

Ja das war mir eh eine Lehre!
Also das Ganze ist mit ziemlich großer Sicherheit von der alten Joomla-Seite ausgegangen.
Ich habe, was mir jetzt nach einiger Zeit Suche aufgefallen ist, einiges vom Joomla-Zeugs in der neuen wbce-Seite drin.
Z. B. sind da komplette Module von Joomla (foxcontact, sige) im Plugin-Ordner unter Content drin.

Also der Umzug wird in meinem Fall auf jeden Fall eine Neuinstallation von wbce!


Wbce 1.4

Offline

#11 01.07.2018 18:55:49

florian
Administrator

Re: Virus beim hochladen

Z. B. sind da komplette Module von Joomla (foxcontact, sige) im Plugin-Ordner unter Content drin.

Oh je. Ja, dann führt wohl in der Tat kein weg an einem "sauberen" Neustart vorbei.

Offline

#12 01.07.2018 19:01:35

grindmobil
Guest

Re: Virus beim hochladen

Das ist kein Drama.
Die Datenbank ist in aller Regel nicht betroffen.

Du machst eine jungfräuliche Installation per FTP. Mit stefeks addon-monitor (Admin Tools), schaust du, welche Module fehlen, die schiebst du nach. EV Upgrade Script aufrufen.

#13 01.07.2018 19:03:45

daveland
Member

Re: Virus beim hochladen

Ok, aber die Beiträge und das alles muss ich schon per Hand neu machen, oder?


Wbce 1.4

Offline

#14 01.07.2018 19:07:49

florian
Administrator

Re: Virus beim hochladen

Nein, das ist ja der Sinn beim Wiedereinspielen des Datenbankdumps. Die Beiträge stehen da drin.

Offline

#15 01.07.2018 19:09:20

grindmobil
Guest

Re: Virus beim hochladen

Beiträge? Was meinst du damit?
Da gibt es ein Script, das alle Access-Files neu anlegt.
Bin schon im Handy-Modus, hab's nicht zur hand.

#16 01.07.2018 19:18:18

florian
Administrator

Re: Virus beim hochladen

Zum Anlegen der Accessfiles siehe Post weiter oben (Admin-Tool "Sysinfo" -> Pages).

Offline

#17 01.07.2018 19:20:45

grindmobil
Guest

Re: Virus beim hochladen

Du kannst mir FTP und Admin Zugang per PN schicken, ich mach sowas dauernd.
An grindbatzn, grindmobil ist Handy, da hab nix davon.

#18 01.07.2018 20:11:42

daveland
Member

Re: Virus beim hochladen

Ah ok, das hab ich zu schnell gelesen.
Ja super, dann versuch ich das mal.

Danke grindmobil für dein Angebot, ich versuch das mal selber, sollte ich ja doch hinbekommen.
Falls nicht, würde ich mich bei dir melden.


Wbce 1.4

Offline

#19 03.07.2018 07:55:36

berny
Member

Re: Virus beim hochladen

Schau dir mal den Inhalt der Datei an.
meistens gibt es einen verschlüsselten Code.

das funktioniert oft so, dass diese Datein andere beim Aufruf umschreiben, die dann als spammer verwendet werden, dann wirst deppad beim suchen.

besser neu und sauber aufsetzen.

ansonsten nach verschlüsselten Inhalten suchen....

Offline

Board footer

Powered by FluxBB

up