Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Webseite mit Trojaner befallen

Frage Sicherheit Viren und Trojaner

Mitglied: Shardas

Shardas (Level 1) - Jetzt verbinden

03.02.2013 um 19:05 Uhr, 8190 Aufrufe, 19 Kommentare

Hallo zusammen,

inzwischen ist zum zweiten Mal meine Webseite mit einem Trojaner befallen (Trojan.JS.Redirector.xb). Weder google noch der Link von Kaspersky (siehe Screenshot) bringt mich irgendwie weiter (toter Link)

Beim ersten Mal vor paar Wochen hat nur eine Neuinstallation der Webseite geholfen. Allerdings ist diese nun wieder infiziert.

Ich habe versucht die die index.php zu identifizieren um den code zu finden. Aber weder hier noch in weitern includes habe ich etwas finden können.

Die Webseite basiert auf dem aktuellsten Joomla. Seltsamerweise kann ich die Adminoberfläche (/administrator) problemlos aufrufen. Ich bekomme die Meldung nur, wenn ich das rootverzeichniss öffnen möchte.

Ich würde mich sehr freuen wenn mir jemand mit mehr Ahnung als ich folgende Fragen beantworten kann:

1. Wie kann sich ein Trojaner eigenständig in einen Webseitencode schreiben bzw woher kann dieser kommen?
2. Wie kann ich diesen Trojaner ausfindig machen?
3. Wie kann ich sicherstellen, dass dies nicht ein drittes Mal passiert? Nach der letzten Neuinstallation habe ich die Passwörter geändert.

Vielen Dank für eure Hilfe.

e5d95d1fa1faf5e6e72d0d343978f79c - Klicke auf das Bild, um es zu vergrößern
Mitglied: Xaero1982
03.02.2013 um 19:36 Uhr
Moin,

gibt es die Meldung auch beim Öffnen mit dem IE?

Gruß
Bitte warten ..
Mitglied: certifiedit.net
03.02.2013 um 19:40 Uhr
1. Schritt wäre zu schauen, wo das Sicherheitsleck herrührt - ein Modul o.ä das unbedingt benötigt wird? Oder ist es dein PC (kein virenschutz?)

2. Wäre dann die Site down zu nehmen, die Files isoliert herunterzuladen und dann gegenzuchecken (sollte lokal dann gehen).

Parallel dazu den Hoster fragen, ob es eine Möglichkeit auf seiner Seite gibt die Site gegenzuchecken. Solange es nicht 1&1 ist sollte der auch bemüht sein, das "sein" webspace clean ist.

3. Wirst du wohl um eine Neuinstallation nicht herumkommen wenn sich der Trojaner "fachmännisch korrekt" eingebettet hat (tägliches nachladen des programmcodes o.ä)

4. Nächstes mal Plugins und Passwörter davor gegenchecken.
Bitte warten ..
Mitglied: Xaero1982
03.02.2013 um 19:46 Uhr
Hi Certifiedit,

wenn er keinen Schutz hätte würde er ja keinen Screenshot zeigen können, wo Kaspersky den Zugriff sperrt.

Ich denke dem Trojanertyp nach zu urteilen liegt der Haase woanders begraben, aber mal sehen.

Zu 3. da hat sich nichts bei ihm eingenistet, weil Kaspersky den Aufruf verhindert hat.

Gruß
Bitte warten ..
Mitglied: certifiedit.net
03.02.2013 um 19:52 Uhr
Hi Xaero1982,

sicher hat er jetzt einen Schutz - aber ich nehme an, dass Kaspersky keine lebenslange Testversionen ausgibt. Daher eben die Frage: Seit wann hat er denn Schutz...[...]. Damit ist dieses Einfallstor zumindestens Anzudenken.

3. Ich meinte nicht auf dem PC, sondern, wie er es beschrieb im o-ton: "er kam auch vor 3 Wochen nicht um eine Neuinstallation herum". Deshalb: Website, hatte ich zwar bisher noch nie, aber die Möglichkeit des Automatischen Nachladens besteht bei gängigen CMS wohl laut einer Kurzrecherche.

Gruß
Bitte warten ..
Mitglied: Fidel83
03.02.2013, aktualisiert um 20:04 Uhr
Hallo

Ich würde das Ganze auch noch mit einem anderen AV gegenchecken. Kaspersky bringt auch gerne mal einen False Positive Alarm. Auf jeden Fall sollte dann aber keine Testversion genutzt werden. KIS 2013 kostet ne Einzellizenz kein Vermögen. Und wer am Schutz spart, braucht sich nicht über Befall wundern.

LG
Bitte warten ..
Mitglied: Xaero1982
03.02.2013 um 20:08 Uhr
Hi Fidel,

ob nun Testversion oder nicht. Wenn diese nicht abgelaufen ist, hat sie die gleichen Updaterechte und Settings wie die gekaufte. Spielt hier letztlich keine Rolle.

@Certified,

naja eine Neuinstallation muss nicht immer ein Muss sein, wenn man wie hier nicht wirklich klar ersehen kann woher das kommt. Erste Recherchen zu diesem Trojaner ergaben da was anderes, daher auch meine Frage was der IE sagt Aber warten wir es ab ...

Gruß
Bitte warten ..
Mitglied: certifiedit.net
03.02.2013 um 20:35 Uhr
Mir ging es eher um die Zeit vor der Installation.

Und wegen der Neuinstallation: es schien ja so, als wäre die Diagose bereits einmal so verlaufen, diesmal sollte man nun allerdings gegenchecken, woher und wie es dazu kam, bevor man Tabula Rasa macht. Bei einer Auswertung dessen kann man dann auch entscheiden, ob sich eine Reparatur lohnt - kommt natürlich auch auf die Daten an, dazu wären mehr Infos (Domain etc) sinnvoll.

http://onlinelinkscan.com/ Dazu folgender Link
Bitte warten ..
Mitglied: drnatur
03.02.2013 um 21:12 Uhr
hallo,

Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.

Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw. http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)

und mich dann noch eingehend mit
Joomla Security bzw. How to prevent your website from getting hacked
beschäftigt.

Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank )

mit freundlichen Grüßen,
drnatur
Bitte warten ..
Mitglied: SlainteMhath
04.02.2013 um 09:06 Uhr
Moin,

und ganz wichtig:
Von einem sicheren (am besten per Linux Live CD) PC aus, alle Zugangspasswörter zum Webspace ändern. Kundenlogin, FTP Login, SSH Password, DB Password und alle Passöwrter "innerhalb" von Joomla.

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
04.02.2013 um 09:13 Uhr
Hi,

die Linux LiveCD bringt ihm herzlich wenig wenn er, wie üblich dann mit einem (evtl) verwanzten PC und der gleichen Passwordbreite wieder darauf zugreift.
Bitte warten ..
Mitglied: Shardas
04.02.2013 um 09:45 Uhr
Ich habe es mit einem anderen PC aus einem anderen Netzwerk getestet. Hier blockt Avira Antivir mit einer vergleichbaren Meldung. Beim IE das Selbe (Es ist ja nicht der Browser der blockt, sondern das Antivir prog).

@certifiedit
Onlinelinkscan ergab keine Hinweise

@drnatur
Sucuri hat allerdings etwas gefunden:
da6fc7e0d00ec88993df6e8e29927390 - Klicke auf das Bild, um es zu vergrößern
Durchaus interessant und ein guter Punkt bei der Fehlersuche anzusetzen.

An alle anderen:
Vielen Dank für eure Hilfe (auch die Idee mit der LiveCD war wertvoll). Vermutlich ist tatsächlich ein Client Rechner befallen. Wobei auch dieser Kaspersky installiert hat (und recht neu aufgesetzt ist). An den Joomla Plugins und Modulen wurde eigentlich ewig nichts mehr geändert. Möglicherweise wurden diese aber aktualisiert.

Ich werde nun versuchen den Trojaner manuell zu entfernen und halte euch auf dem laufenden
Bitte warten ..
Mitglied: certifiedit.net
04.02.2013 um 11:59 Uhr
Ok, Pardon, wurde, wie gesagt mit diesem Szenario bisher noch nicht konfrontiert.

Probiere mal alternative [Online] Virenscanner aus (bspw: Trend Micro Housecall ovgl, gerne auch mehrere) um deine Clients definitiv Virenfrei zu sichten.

Zu deinen Fragen

1. Wie kann sich ein Trojaner eigenständig in einen Webseitencode schreiben bzw woher kann dieser kommen?

WIe bereits gesagt kann das an verseuchten Plugins liegen, oder an fehlerhaften - Joomla ist relativ bekannt, dh gerne angegriffen, selbe Problematik hat(te) Windows auch den Ruf eingebracht.

2. Wie kann ich diesen Trojaner ausfindig machen?

Denke da bist du z.T schon selbst drauf gekommen.

3. Wie kann ich sicherstellen, dass dies nicht ein drittes Mal passiert? Nach der letzten Neuinstallation habe ich die Passwörter geändert.

Passwörter komplex gestalten (Level 1),
wie drnatur es schon angeführt hat nicht einfach das erst beste Plugin installieren, sondern auch die Bewertungen (gerade in Hinsicht auf sicheres Programmieren) beachten und vorallem schauen, wie es bei tertiären Formularen gehandelt wird.

Der erste Schritt wäre allerdings ein permanenter Virenschutz - Testversionen sind eigtl pro Forma immer nur "Brandbekämpfer".

Viel Erfolg
Bitte warten ..
Mitglied: Shardas
04.02.2013 um 18:57 Uhr
Hallo zusammen und alle, die vielleicht das Problem auch vielleicht mal haben werden.

Erstmal vorab: Ich vermute nicht dass es an den Plugins liegt. Diese existieren schon seit Jahren auf der Seite, wurden nicht geändert und befinden sich auch nicht auf der Blacklist.

So, den Trojaner konnte ich vorerst löschen. Was habe ich gemacht?

Ich habe die komplette Webseite lokal runtergeladen und nach dem Script gesucht was mit sucuri ausgespuckt hat. Dieser Dreckscode hatte sich in jede index.php Datei der Templates geschrieben (/templates). Egal ob Standard template von Joomla oder auch egal ob aktiviert od. deaktiviert. Sucuri cached leider die Abfragen 24H, daher kann ich meine Seite erst morgen wieder checken. Weder Kaspersky noch Avira blocken den zugriff, daher scheint die Seite wieder clean zu sein.

Offen bleibt die Frage wie das ein zweites Mal passieren konnte. Das wird mir niemand beantworten können, auf die Recherche muss ich selber gehen (Tipps werde ich befolgen). Fürs erste werde ich den Thread als gelöst markieren.

So Nebenbei: Ich hatte folgende Antivirenprogramme: Avira auf Firmenlaptop, Kaspersky auf einem anderen privaten Rechner und MSE auf diesen hier, von welchem der Screenshot stammt. Da MSE der einzige war, der nicht gemeckert hat, habe ich den runter und Kaspersky installiert. Lizenz wird nachbestellt.

Vielen Dank an alle beteiligten!
Bitte warten ..
Mitglied: certifiedit.net
04.02.2013 um 19:02 Uhr
OK, aber bitte beobachte die Seite in den nächsten Tagen, es besteht die Möglichkeit, dass sich der Trojaner neu einnistet (= Nachlädt, falls nicht mehr vorhanden)

Viel Erfolg
Bitte warten ..
Mitglied: drnatur
04.02.2013 um 20:47 Uhr
Zitat von Shardas:
Erstmal vorab: Ich vermute nicht dass es an den Plugins liegt. Diese existieren schon seit Jahren auf der Seite, wurden nicht
geändert und befinden sich auch nicht auf der Blacklist.

So, den Trojaner konnte ich vorerst löschen. Was habe ich gemacht?

Ich habe die komplette Webseite lokal runtergeladen und nach dem Script gesucht was mit sucuri ausgespuckt hat. Dieser Dreckscode
hatte sich in jede index.php Datei der Templates geschrieben (/templates). Egal ob Standard template von Joomla oder auch egal ob
aktiviert od. deaktiviert.

hallo,

freut mich, dass wir helfen konnten.
Eine (nein, zwei) Fragen hätte ich dann noch:
Welche Templates verwendest du?
Sind die Plugins alle aktuell?

liebe Grüße,
drnatur
P.S. Informier deinen Hoster (falls nicht schon geschehen) Der sollte an der Sicherheit seiner Server interessiert sein!
Bitte warten ..
Mitglied: Shardas
04.02.2013 um 22:15 Uhr
Ich verwende das Allrounder Template von lernvid. Die Programmieren ziemlich viel für Joomla und andere CMS Systeme.
Plugins sind Image Gallery von sigpuls und anticopy. Beide schienen allerdings nicht aktuell gewesen zu sein. Ist zwar eine Sicherheitslücke aber ich wage es dennoch zu behaupten dass sich kein trojaner dadurch Schreibrechte auf meinem Webspace geben und sich in Dateien hardcoden kann.

Die Plugins habe ich aktualisiert. Zusätzlich habe ich im Verwaltungspanel des Hosters den Schreibschutz aktiviert. Nun hat nichtmal weder mein Account noch irgend ein anderer Änderungsrechte. Bei Bedarf ändere ich das temporär.
Bitte warten ..
Mitglied: certifiedit.net
04.02.2013 um 23:10 Uhr
Leider ist es so (wie beschrieben im Vergleich zu den WIn Systemen), dass kleinste Lücken für großes ausgenutzt werden können, wenn diese Programmieren zu dem noch populär (und nicht up2date sind umso mehr.

Denke aber der Schreibschutz ist dafür nun die effizienteste Prävention - evtl. zudem, wie vorgeschlagen noch ein regelmäßiges Backup.
Bitte warten ..
Mitglied: SlainteMhath
05.02.2013 um 08:52 Uhr
Moin,

der Schreibschutz auf Dateisystemeben bringt nur bedingt Sicherheit. Joomla (und fast alle anderen CMS auch) speichern Content zumindest teilweise in der (My)SQL-DB. Es genügt also eine "simpler" SQL-Injection um den Schadcode (i.d.R. ein iFrame oder Javascript) in die DB zu schreiben und schon wird jedem Besucher präsentiert ohne auch nur einmal das Filesystem berührt zu haben.

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
05.02.2013 um 10:01 Uhr
Logisch, aber die SQL Zugriffe kann er schlecht verhindern. Zudem besteht nun hoffentlich eine erhöhte Wachsamkeit gegenüber veralteten Modulen die entsprechende Injections erst ermöglichen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Viren und Trojaner
Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung

Link von VGem-e zum Thema Viren und Trojaner ...

Linux Desktop
Webseite aufgerufen - Linux gehackt (5)

Link von BirdyB zum Thema Linux Desktop ...

RedHat, CentOS, Fedora
gelöst Die Website hat die Anzeige dieser Webseite abgelehnt - SePolicies - Linux (1)

Frage von rainergugus zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...