WBCE CMS Forum

peitman

Mitglied

Trojaner

Hallo zusammen,
ich arbeite jetzt schon über 10 Jahre mit WBCE und WB.
Ich habe noch nie davon gehört das ein System gehackt wurde oder mit Viren befallen ist/sein soll - bis heute!

Kunde rief an und sagte sein Virenscanner würde beim Aufruf einer bestimmten Seite Trojanermeldung raushauen.

Als Anlage habe ich mal einen Screenshot der Meldung angehangen.

WBCE Version: 1.4.4 / PHP Version: 7.3.9

Ich habe überhaupt keinen Plan wie ich jetzt vorgehen soll bevor ich auf 1.4.5 update.
Mache gerade eine Kopie der seite und will lokal die Seite dann Scannen.

Über hilfreiche Tipps wäre ich mehr als dankbar.

Grüße
dp

---

Webdesign ist der Prozess der Erstellung einer Website. 

peitman

Mitglied

Re: Trojaner

Hier eine Info vom Hoster:

Im Dateisystem des Webservers sei eine verdächtige Datei gefunden worden, welche der Hoster gelöscht hat - diese sei allerdings aus dem Jahr 1997 gewesen!

Im vorliegenden Fall scheint die Malware in der Datenbank des CMS zu stecken, da die Inhalte der Homepage so gesehen im Dateisystem nicht als Dateien abgebildet werden.

---

Webdesign ist der Prozess der Erstellung einer Website. 

colinax

Developer

Re: Trojaner

Hi peitman,

Welchen Browser in welcher Version verwendet dein Kunde?
Was passiert wenn dein Kunde andere Browser verwendet?
Welcher Virenscanner wird verwendet, was sagen andere Virenscanner dazu?
Sofern dass ein Windows Gerät ist welches Windows in welcher Version ist vorhanden (dazu Startmenü öffnen winver eingeben und Enter drücken).
Dein Kunde soll mal die Datenträgerbereinigung als Administrator starten, alles in Datenträgerbereinigung auswählen und auf ok drücken.
Dein Kunde soll auch in allen verwendeten Browsern die Chronik, Verlauf (oder wie sie auch immer heißen) löschen.

Wie heißt die URL der betroffenen Seite (bitte so angeben dass das Forum keine URL erkennt?

colinax

Developer

Re: Trojaner

Hier eine Info vom Hoster:

Im Dateisystem des Webservers sei eine verdächtige Datei gefunden worden, welche der Hoster gelöscht hat - diese sei allerdings aus dem Jahr 1997 gewesen!

Im vorliegenden Fall scheint die Malware in der Datenbank des CMS zu stecken, da die Inhalte der Homepage so gesehen im Dateisystem nicht als Dateien abgebildet werden.

Kann der Hoster mehr dazu sagen wie z.b. die Datei hieß, bzw. wo diese in der DB gespeichert wurde?

Mir ist zumindest nicht bekannt dass man eine komplette js Datei in die DB speichern kann, eher gehe ich davon aus dass ein User damals einen Link zu dieser Datei in einem WYSIWYG oder Code Abschnitt gespeichert hat und deine Seite die manipulierte Datei jetzt weiter verteilt (hat).

florian

Administrator

Re: Trojaner

Zunächst ist zu prüfen, ob diese Datei js.js sich tatsächlich auf der betreffenden Website befindet oder nicht z.B. über einen via iframe eingebundenen Banner, Counter o.ä. eingeschleust wird.
Sollte sie auf dem betreffenden Webspace liegen, müsste man versuchen, herauszubekommen, wie und wann die Datei js.js hochgeladen worden ist (Acess-/FTP-Logfiles, sofern vorhanden).
Weiterhin ist zu prüfen, ob es weitere verdächtige Dateien auf dem Server gibt (Backdoor), über die der Upload der JS-Datei erfolgt sein könnte.

Neben einer unbekannten scriptseitigen Sicherheitslücke kann der Angriff auch über einen schlecht gesicherten FTP-Accont erfolgt sein, er kann den gesamten Webserver betreffen (also dass noch weitere auf dieser Maschine befindliche Webseiten kompromittiert worden sind und der Upload gar nichts mit der betr. Seite zu tun hat).

---

Code allein macht nicht glücklich. Jetzt spenden!

peitman

Mitglied

Re: Trojaner

Hallo Colinax,
vielen Dank für deine Unterstützung. Ich habe die Seite jetzt erst einmal in den Wartungsmodus gesetzt.
Hier die URL: rmw-koblenz.de

Deine Vorgehensweise habe ich anden Kunden weiter gegeben. Wird aber meines Erachtens nichts bringen, da der Hoster ja die betreffende Datei schon gelöcht hat!

Ich habe die komplette installation per FTP downgeloadet, Datenbank exportiert und alles zentral mit einem Virenscanner geprüft, mit dem ergebniss
"keine Bedrohung" gefunden.

Hoster schlägt  vor das Web-Paket auf neuen Server umzuziehen, welche mit aktuelleren Versionen von PHP und SQL-Server ausgestattet sind.

---

Webdesign ist der Prozess der Erstellung einer Website. 

colinax

Developer

Re: Trojaner

Wenn ich mir dass durchlese, hoffe ich nicht dass dein Kunde da angerufen hat:
https://www.virustotal.com/gui/file/d8e … /detection
https://www.f-secure.com/v-descs/trojan_js_cryxos.shtml

Deine Vorgehensweise habe ich anden Kunden weiter gegeben. Wird aber meines Erachtens nichts bringen, da der Hoster ja die betreffende Datei schon gelöcht hat!

Sofern dein Kunde den Cache nicht löscht kann diese Datei bzw. dessen Auslöser immer noch vorhanden sein.

Ich habe die komplette Installation per FTP gedownloadet, Datenbank exportiert und alles zentral mit einem Virenscanner geprüft, mit dem Ergebnis
"keine Bedrohung" gefunden.

Ist auch verständlich da ein Windows Scanner die Dateien offline anders scannt als wenn diese aktiv sind. So wies es aussieht wurde die Datei per Link/iFrame oder ähnliches eingebunden, dass kann der Scanner ebenfalls nicht überprüfen.

Hoster schlägt  vor das Web-Paket auf neuen Server umzuziehen, welche mit aktuelleren Versionen von PHP und SQL-Server ausgestattet sind.

Wenn er es anbietet sollte dass angenommen werden, aber vorher sollte bekannt sein wo sich die Datei in der DB befand, um zu verhindern dass die Infektion erneut stattfindet, da du ein Backup gezogen hast soll der Hoster dir am neuen Server einen leeren sauberen Bereich erstellen und keine Dateien aus der alten Umgebung übernehmen

peitman

Mitglied

Re: Trojaner

Hallo Florian,
weder iframe noch Banner, Counter sind eingebundenen.
Die betroffene Unterseite, wo der Kunde die Meldung erhält besteht aus WYSIWYG und onebyone und hat lediglich eine Verlinkung zu einer anderen Webseite.

Ich nehem jetzt Kontakt zum Hoster auf um mehr über die Datei zu erfahren.

Danke an euch

---

Webdesign ist der Prozess der Erstellung einer Website. 

florian

Administrator

Re: Trojaner

Wird die Virenwarnung nur für diese eine Unterseite angezeigt, oder auch auf anderen Seiten des Auftritts?
Bearbeitet der Kunde die Seite selbst?
Wenn Du auf die Seite im BE gehst und in die Quelltextansicht von WYSIWYG bzw. WYSIWYG-Eingabefeld in OBO wechselst, ist da irgendwas Merkwürdiges?

---

Code allein macht nicht glücklich. Jetzt spenden!

peitman

Mitglied

Re: Trojaner

Hallo Florian,

es soll nur auf dieser einen Unterseite zu der Meldung kommen: rmw-koblenz.de/pages/service/ag-oeffentlichkeitsarbeit.php
Die Seite wird nur durch mich bearbeitet.
Die Quelltexte sind gans normal, Überschriften, Textabsätze, Bilder, eine verlinkung zu tomtom-pr-agentur.de

Der Kunde benutzt Bitdefender.

Ich warte auf einen Rückruf des Systemhauses.

Beitrag geändert von peitman (23.04.2021 11:29:13)

---

Webdesign ist der Prozess der Erstellung einer Website. 

colinax

Developer

Re: Trojaner

Die Quelltexte sind ganz normal, Überschriften, Textabsätze, Bilder, eine Verlinkung zu tomtom-pr-agentur.de

Ich gehe mal davon aus dass das ein Stand ist wo der Hoster schon eingegriffen hat oder?

peitman

Mitglied

Re: Trojaner

Ich warte uf einen Rückruf vom Hoster

Die Quelltexte sind ganz normal, Überschriften, Textabsätze, Bilder, eine Verlinkung zu tomtom-pr-agentur.de

Ich gehe mal davon aus dass das ein Stand ist wo der Hoster schon eingegriffen hat oder?

---

Webdesign ist der Prozess der Erstellung einer Website. 

peitman

Mitglied

Re: Trojaner

Wenn ich mir dass durchlese, hoffe ich nicht dass dein Kunde da angerufen hat:
https://www.virustotal.com/gui/file/d8e … /detection
https://www.f-secure.com/v-descs/trojan_js_cryxos.shtml

wie soll ich das verstehen? Ich hatte auch über virustotal geprüft!
Gibt es bessere Möglichkeiten?

---

Webdesign ist der Prozess der Erstellung einer Website. 

peitman

Mitglied

Re: Trojaner

Hi peitman,

Welchen Browser in welcher Version verwendet dein Kunde?
Was passiert wenn dein Kunde andere Browser verwendet?
Welcher Virenscanner wird verwendet, was sagen andere Virenscanner dazu?
Sofern dass ein Windows Gerät ist welches Windows in welcher Version ist vorhanden (dazu Startmenü öffnen winver eingeben und Enter drücken).
Dein Kunde soll mal die Datenträgerbereinigung als Administrator starten, alles in Datenträgerbereinigung auswählen und auf ok drücken.
Dein Kunde soll auch in allen verwendeten Browsern die Chronik, Verlauf (oder wie sie auch immer heißen) löschen.

Wie heißt die URL der betroffenen Seite (bitte so angeben dass das Forum keine URL erkennt?

Hier die Anworten vom Kunden. Er ist selbst Systemadmin in der Einrichtung:

Welchen Browser in welcher Version verwendet Sie?
Internet Explorer 11, 11.0.9600.19963

Was passiert wenn Sie einen anderen Browser verwenden?
Derzeit erscheint nur eine Meldung, dass die Website in Bearbeitung ist.

Welcher Virenscanner wird verwendet, was sagen andere Virenscanner dazu?
Eine Unternehmenslösung von Bitdefender kommt zum Einsatz und wird ausschließlich verwendet.

Welches Windows in welcher Version benutzen Sie?
Es handelt sich um Terminalserver mit dem Betriebssystem Windows Server 2012 R2.

Haben Sie eine Datenträgerbereinigung als Administrator gestartet (alles auswählen und ok drücken)
Eine Datenträgerbereinigung werde ich auf einem Terminalserver "im laufenden Betrieb" mit angemeldeten Benutzern schlecht starten können.

Haben Sie in allen verwendeten Browsern die Chronik, Verlauf gelöscht?
Chronik oder Verlauf wurden nicht gelöscht. Die Meldungen von Bitdefender beziehen sich auf das Cache Verzeichnis des Internet Explorers im jeweiligen "Local" Verzeichnis des Benutzerprofils der User. Das Verzeichnis Local wird bei der täglichen Anmeldung am Terminalserver immer wieder neu erstellt und enthält keine Dateien vom Vortag.

Die Meldungen bzgl. gefundener Malware erschienen immer wieder, sobald die RMW-Website geöffnet wurde. Bei anderen Website wurde keine Meldung generiert.

---

Webdesign ist der Prozess der Erstellung einer Website. 

florian

Administrator

Re: Trojaner

Ich habe die vage Vermutung, dass es sich um ein false Positive handeln könnte und der Bitdefender auf das Javascript anspringt, das die E-Mail-Adresse im Footer vor Spambots schützen soll.

Die Cryxos-Trojaner - das meinte Colinax - lassen gefälschte Warnmeldungen aufploppen, dass der PC des Nutzers, der die betreffende Seite aufruft, angeblich gehackt worden sei, und dass man irgend eine Telefonnummer anrufen soll, um mit dem "Microsoft-Service" zu sprechen. Der Microsoft-Service ist natürlich in Wirklichkeit dann irgend eine Phishing-Klitsche, die dann via Fernwartung auf den Anwender-PC zugreifen möchte, um da dann die "richtig böse" Malware installieren zu können.

Beitrag geändert von florian (23.04.2021 11:46:04)

---

Code allein macht nicht glücklich. Jetzt spenden!

mrbaseman

Developer

Re: Trojaner

Also bei mir hat vor Jahren auch mal ein Virenscanner wegen modules/mod_opf_email/js/mdcr.js angeschlagen. Mit diesem Javascript Code werden "verschlüsselte" Email-Adressen beim Anklicken wieder entschlüsselt. Der Mechanismus dient dazu, den html-Code so zu gestalten, dass sich  Suchmaschinen, die email-Adressen für Spam-Attacken sammeln, möglichst schwer tun, aber trotzdem (aktiviertes Javascript vorausgesetzt) möglichst wenig Bedienkomfort einzubüßen.

Die gleiche Funktion kann man natürlich auch dazu nutzen, URLs so zu verschlüsseln, dass sie von Virenscannern im URL-Filter nicht als gefährlich eingestuft werden, aber beim Anklicken dann doch auf eine infizierte Seite führen. Das könnte dann der Hintergrund sein, warum dieser Code möglicherweise pauschal als gefährlich eingestuft wird.

florian

Administrator

Re: Trojaner

@peitman
Ist das noch irgendwie weiter gegangen?

---

Code allein macht nicht glücklich. Jetzt spenden!