WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

Announcement

Server-Wartung/-update: Forum und Website am 19.05., 19 Uhr bis 20.05., 10 Uhr offline
Due to server maintenance the forum and wbce.org website will be offline from 05/19, 7pm to 05/20, 10am

#1 23.04.2021 09:56:57

peitman
Member

Trojaner

Hallo zusammen,
ich arbeite jetzt schon über 10 Jahre mit WBCE und WB.
Ich habe noch nie davon gehört das ein System gehackt wurde oder mit Viren befallen ist/sein soll - bis heute!

Kunde rief an und sagte sein Virenscanner würde beim Aufruf einer bestimmten Seite Trojanermeldung raushauen.

Als Anlage habe ich mal einen Screenshot der Meldung angehangen.

WBCE Version: 1.4.4 / PHP Version: 7.3.9

Ich habe überhaupt keinen Plan wie ich jetzt vorgehen soll bevor ich auf 1.4.5 update.
Mache gerade eine Kopie der seite und will lokal die Seite dann Scannen.

Über hilfreiche Tipps wäre ich mehr als dankbar.

Grüße
dp

Offline

#2 23.04.2021 10:10:08

peitman
Member

Re: Trojaner

Hier eine Info vom Hoster:

Im Dateisystem des Webservers sei eine verdächtige Datei gefunden worden, welche der Hoster gelöscht hat - diese sei allerdings aus dem Jahr 1997 gewesen!

Im vorliegenden Fall scheint die Malware in der Datenbank des CMS zu stecken, da die Inhalte der Homepage so gesehen im Dateisystem nicht als Dateien abgebildet werden.

Offline

#3 23.04.2021 10:14:28

colinax
Administrator

Re: Trojaner

Hi peitman,

Welchen Browser in welcher Version verwendet dein Kunde?
Was passiert wenn dein Kunde andere Browser verwendet?
Welcher Virenscanner wird verwendet, was sagen andere Virenscanner dazu?
Sofern dass ein Windows Gerät ist welches Windows in welcher Version ist vorhanden (dazu Startmenü öffnen winver eingeben und Enter drücken).
Dein Kunde soll mal die Datenträgerbereinigung als Administrator starten, alles in Datenträgerbereinigung auswählen und auf ok drücken.
Dein Kunde soll auch in allen verwendeten Browsern die Chronik, Verlauf (oder wie sie auch immer heißen) löschen.

Wie heißt die URL der betroffenen Seite (bitte so angeben dass das Forum keine URL erkennt?


Mein GitHub Profil: https://github.com/Colinax

Offline

#4 23.04.2021 10:21:18

colinax
Administrator

Re: Trojaner

peitman wrote:

Hier eine Info vom Hoster:

Im Dateisystem des Webservers sei eine verdächtige Datei gefunden worden, welche der Hoster gelöscht hat - diese sei allerdings aus dem Jahr 1997 gewesen!

Im vorliegenden Fall scheint die Malware in der Datenbank des CMS zu stecken, da die Inhalte der Homepage so gesehen im Dateisystem nicht als Dateien abgebildet werden.

Kann der Hoster mehr dazu sagen wie z.b. die Datei hieß, bzw. wo diese in der DB gespeichert wurde?

Mir ist zumindest nicht bekannt dass man eine komplette js Datei in die DB speichern kann, eher gehe ich davon aus dass ein User damals einen Link zu dieser Datei in einem WYSIWYG oder Code Abschnitt gespeichert hat und deine Seite die manipulierte Datei jetzt weiter verteilt (hat).


Mein GitHub Profil: https://github.com/Colinax

Offline

#5 23.04.2021 10:26:28

florian
Administrator

Re: Trojaner

Zunächst ist zu prüfen, ob diese Datei js.js sich tatsächlich auf der betreffenden Website befindet oder nicht z.B. über einen via iframe eingebundenen Banner, Counter o.ä. eingeschleust wird.
Sollte sie auf dem betreffenden Webspace liegen, müsste man versuchen, herauszubekommen, wie und wann die Datei js.js hochgeladen worden ist (Acess-/FTP-Logfiles, sofern vorhanden).
Weiterhin ist zu prüfen, ob es weitere verdächtige Dateien auf dem Server gibt (Backdoor), über die der Upload der JS-Datei erfolgt sein könnte.

Neben einer unbekannten scriptseitigen Sicherheitslücke kann der Angriff auch über einen schlecht gesicherten FTP-Accont erfolgt sein, er kann den gesamten Webserver betreffen (also dass noch weitere auf dieser Maschine befindliche Webseiten kompromittiert worden sind und der Upload gar nichts mit der betr. Seite zu tun hat).

Offline

#6 23.04.2021 10:29:24

peitman
Member

Re: Trojaner

Hallo Colinax,
vielen Dank für deine Unterstützung. Ich habe die Seite jetzt erst einmal in den Wartungsmodus gesetzt.
Hier die URL: rmw-koblenz.de

Deine Vorgehensweise habe ich anden Kunden weiter gegeben. Wird aber meines Erachtens nichts bringen, da der Hoster ja die betreffende Datei schon gelöcht hat!

Ich habe die komplette installation per FTP downgeloadet, Datenbank exportiert und alles zentral mit einem Virenscanner geprüft, mit dem ergebniss
"keine Bedrohung" gefunden.

Hoster schlägt  vor das Web-Paket auf neuen Server umzuziehen, welche mit aktuelleren Versionen von PHP und SQL-Server ausgestattet sind.

Offline

#7 23.04.2021 10:47:47

colinax
Administrator

Re: Trojaner

Wenn ich mir dass durchlese, hoffe ich nicht dass dein Kunde da angerufen hat:
https://www.virustotal.com/gui/file/d8e … /detection
https://www.f-secure.com/v-descs/trojan_js_cryxos.shtml

peitman wrote:

Deine Vorgehensweise habe ich anden Kunden weiter gegeben. Wird aber meines Erachtens nichts bringen, da der Hoster ja die betreffende Datei schon gelöcht hat!

Sofern dein Kunde den Cache nicht löscht kann diese Datei bzw. dessen Auslöser immer noch vorhanden sein.

peitman wrote:

Ich habe die komplette Installation per FTP gedownloadet, Datenbank exportiert und alles zentral mit einem Virenscanner geprüft, mit dem Ergebnis
"keine Bedrohung" gefunden.

Ist auch verständlich da ein Windows Scanner die Dateien offline anders scannt als wenn diese aktiv sind. So wies es aussieht wurde die Datei per Link/iFrame oder ähnliches eingebunden, dass kann der Scanner ebenfalls nicht überprüfen.

peitman wrote:

Hoster schlägt  vor das Web-Paket auf neuen Server umzuziehen, welche mit aktuelleren Versionen von PHP und SQL-Server ausgestattet sind.

Wenn er es anbietet sollte dass angenommen werden, aber vorher sollte bekannt sein wo sich die Datei in der DB befand, um zu verhindern dass die Infektion erneut stattfindet, da du ein Backup gezogen hast soll der Hoster dir am neuen Server einen leeren sauberen Bereich erstellen und keine Dateien aus der alten Umgebung übernehmen


Mein GitHub Profil: https://github.com/Colinax

Offline

#8 23.04.2021 10:58:55

peitman
Member

Re: Trojaner

Hallo Florian,
weder iframe noch Banner, Counter sind eingebundenen.
Die betroffene Unterseite, wo der Kunde die Meldung erhält besteht aus WYSIWYG und onebyone und hat lediglich eine Verlinkung zu einer anderen Webseite.

Ich nehem jetzt Kontakt zum Hoster auf um mehr über die Datei zu erfahren.

Danke an euch

Offline

#9 23.04.2021 11:06:02

florian
Administrator

Re: Trojaner

Wird die Virenwarnung nur für diese eine Unterseite angezeigt, oder auch auf anderen Seiten des Auftritts?
Bearbeitet der Kunde die Seite selbst?
Wenn Du auf die Seite im BE gehst und in die Quelltextansicht von WYSIWYG bzw. WYSIWYG-Eingabefeld in OBO wechselst, ist da irgendwas Merkwürdiges?

Offline

#10 23.04.2021 11:16:02

peitman
Member

Re: Trojaner

Hallo Florian,

es soll nur auf dieser einen Unterseite zu der Meldung kommen: rmw-koblenz.de/pages/service/ag-oeffentlichkeitsarbeit.php
Die Seite wird nur durch mich bearbeitet.
Die Quelltexte sind gans normal, Überschriften, Textabsätze, Bilder, eine verlinkung zu tomtom-pr-agentur.de

Der Kunde benutzt Bitdefender.


Ich warte auf einen Rückruf des Systemhauses.

Last edited by peitman (23.04.2021 11:29:13)

Offline

#11 23.04.2021 11:27:54

colinax
Administrator

Re: Trojaner

peitman wrote:

Die Quelltexte sind ganz normal, Überschriften, Textabsätze, Bilder, eine Verlinkung zu tomtom-pr-agentur.de

Ich gehe mal davon aus dass das ein Stand ist wo der Hoster schon eingegriffen hat oder?


Mein GitHub Profil: https://github.com/Colinax

Offline

#12 23.04.2021 11:30:21

peitman
Member

Re: Trojaner

Ich warte uf einen Rückruf vom Hoster

colinax wrote:
peitman wrote:

Die Quelltexte sind ganz normal, Überschriften, Textabsätze, Bilder, eine Verlinkung zu tomtom-pr-agentur.de

Ich gehe mal davon aus dass das ein Stand ist wo der Hoster schon eingegriffen hat oder?

Offline

#13 23.04.2021 11:32:18

peitman
Member

Re: Trojaner

colinax wrote:

Wenn ich mir dass durchlese, hoffe ich nicht dass dein Kunde da angerufen hat:
https://www.virustotal.com/gui/file/d8e … /detection
https://www.f-secure.com/v-descs/trojan_js_cryxos.shtml

wie soll ich das verstehen? Ich hatte auch über virustotal geprüft!
Gibt es bessere Möglichkeiten?

Offline

#14 23.04.2021 11:35:58

peitman
Member

Re: Trojaner

colinax wrote:

Hi peitman,

Welchen Browser in welcher Version verwendet dein Kunde?
Was passiert wenn dein Kunde andere Browser verwendet?
Welcher Virenscanner wird verwendet, was sagen andere Virenscanner dazu?
Sofern dass ein Windows Gerät ist welches Windows in welcher Version ist vorhanden (dazu Startmenü öffnen winver eingeben und Enter drücken).
Dein Kunde soll mal die Datenträgerbereinigung als Administrator starten, alles in Datenträgerbereinigung auswählen und auf ok drücken.
Dein Kunde soll auch in allen verwendeten Browsern die Chronik, Verlauf (oder wie sie auch immer heißen) löschen.

Wie heißt die URL der betroffenen Seite (bitte so angeben dass das Forum keine URL erkennt?

Hier die Anworten vom Kunden. Er ist selbst Systemadmin in der Einrichtung:

Welchen Browser in welcher Version verwendet Sie?
Internet Explorer 11, 11.0.9600.19963

Was passiert wenn Sie einen anderen Browser verwenden?
Derzeit erscheint nur eine Meldung, dass die Website in Bearbeitung ist.

Welcher Virenscanner wird verwendet, was sagen andere Virenscanner dazu?
Eine Unternehmenslösung von Bitdefender kommt zum Einsatz und wird ausschließlich verwendet.

Welches Windows in welcher Version benutzen Sie?
Es handelt sich um Terminalserver mit dem Betriebssystem Windows Server 2012 R2.

Haben Sie eine Datenträgerbereinigung als Administrator gestartet (alles auswählen und ok drücken)
Eine Datenträgerbereinigung werde ich auf einem Terminalserver "im laufenden Betrieb" mit angemeldeten Benutzern schlecht starten können.

Haben Sie in allen verwendeten Browsern die Chronik, Verlauf gelöscht?
Chronik oder Verlauf wurden nicht gelöscht. Die Meldungen von Bitdefender beziehen sich auf das Cache Verzeichnis des Internet Explorers im jeweiligen "Local" Verzeichnis des Benutzerprofils der User. Das Verzeichnis Local wird bei der täglichen Anmeldung am Terminalserver immer wieder neu erstellt und enthält keine Dateien vom Vortag.

Die Meldungen bzgl. gefundener Malware erschienen immer wieder, sobald die RMW-Website geöffnet wurde. Bei anderen Website wurde keine Meldung generiert.

Offline

#15 23.04.2021 11:44:54

florian
Administrator

Re: Trojaner

Ich habe die vage Vermutung, dass es sich um ein false Positive handeln könnte und der Bitdefender auf das Javascript anspringt, das die E-Mail-Adresse im Footer vor Spambots schützen soll.

Die Cryxos-Trojaner - das meinte Colinax - lassen gefälschte Warnmeldungen aufploppen, dass der PC des Nutzers, der die betreffende Seite aufruft, angeblich gehackt worden sei, und dass man irgend eine Telefonnummer anrufen soll, um mit dem "Microsoft-Service" zu sprechen. Der Microsoft-Service ist natürlich in Wirklichkeit dann irgend eine Phishing-Klitsche, die dann via Fernwartung auf den Anwender-PC zugreifen möchte, um da dann die "richtig böse" Malware installieren zu können.

Last edited by florian (23.04.2021 11:46:04)

Offline

#16 23.04.2021 22:06:18

mrbaseman
Developer

Re: Trojaner

Also bei mir hat vor Jahren auch mal ein Virenscanner wegen modules/mod_opf_email/js/mdcr.js angeschlagen. Mit diesem Javascript Code werden "verschlüsselte" Email-Adressen beim Anklicken wieder entschlüsselt. Der Mechanismus dient dazu, den html-Code so zu gestalten, dass sich  Suchmaschinen, die email-Adressen für Spam-Attacken sammeln, möglichst schwer tun, aber trotzdem (aktiviertes Javascript vorausgesetzt) möglichst wenig Bedienkomfort einzubüßen.

Die gleiche Funktion kann man natürlich auch dazu nutzen, URLs so zu verschlüsseln, dass sie von Virenscannern im URL-Filter nicht als gefährlich eingestuft werden, aber beim Anklicken dann doch auf eine infizierte Seite führen. Das könnte dann der Hintergrund sein, warum dieser Code möglicherweise pauschal als gefährlich eingestuft wird.

Offline

#17 26.04.2021 19:54:16

florian
Administrator

Re: Trojaner

@peitman
Ist das noch irgendwie weiter gegangen?

Offline

Board footer

Powered by FluxBB

up