shardas
Goto Top

Webseite mit Trojaner befallen

Hallo zusammen,

inzwischen ist zum zweiten Mal meine Webseite mit einem Trojaner befallen (Trojan.JS.Redirector.xb). Weder google noch der Link von Kaspersky (siehe Screenshot) bringt mich irgendwie weiter (toter Link)

Beim ersten Mal vor paar Wochen hat nur eine Neuinstallation der Webseite geholfen. Allerdings ist diese nun wieder infiziert.

Ich habe versucht die die index.php zu identifizieren um den code zu finden. Aber weder hier noch in weitern includes habe ich etwas finden können.

Die Webseite basiert auf dem aktuellsten Joomla. Seltsamerweise kann ich die Adminoberfläche (/administrator) problemlos aufrufen. Ich bekomme die Meldung nur, wenn ich das rootverzeichniss öffnen möchte.

Ich würde mich sehr freuen wenn mir jemand mit mehr Ahnung als ich folgende Fragen beantworten kann:

1. Wie kann sich ein Trojaner eigenständig in einen Webseitencode schreiben bzw woher kann dieser kommen?
2. Wie kann ich diesen Trojaner ausfindig machen?
3. Wie kann ich sicherstellen, dass dies nicht ein drittes Mal passiert? Nach der letzten Neuinstallation habe ich die Passwörter geändert.

Vielen Dank für eure Hilfe.

e5d95d1fa1faf5e6e72d0d343978f79c

Content-ID: 201199

Url: https://administrator.de/contentid/201199

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

Xaero1982
Xaero1982 03.02.2013 um 19:36:57 Uhr
Goto Top
Moin,

gibt es die Meldung auch beim Öffnen mit dem IE?

Gruß
certifiedit.net
certifiedit.net 03.02.2013 um 19:40:17 Uhr
Goto Top
1. Schritt wäre zu schauen, wo das Sicherheitsleck herrührt - ein Modul o.ä das unbedingt benötigt wird? Oder ist es dein PC (kein virenschutz?)

2. Wäre dann die Site down zu nehmen, die Files isoliert herunterzuladen und dann gegenzuchecken (sollte lokal dann gehen).

Parallel dazu den Hoster fragen, ob es eine Möglichkeit auf seiner Seite gibt die Site gegenzuchecken. Solange es nicht 1&1 ist sollte der auch bemüht sein, das "sein" webspace clean ist.

3. Wirst du wohl um eine Neuinstallation nicht herumkommen wenn sich der Trojaner "fachmännisch korrekt" eingebettet hat (tägliches nachladen des programmcodes o.ä)

4. Nächstes mal Plugins und Passwörter davor gegenchecken.
Xaero1982
Xaero1982 03.02.2013 um 19:46:12 Uhr
Goto Top
Hi Certifiedit,

wenn er keinen Schutz hätte würde er ja keinen Screenshot zeigen können, wo Kaspersky den Zugriff sperrt.

Ich denke dem Trojanertyp nach zu urteilen liegt der Haase woanders begraben, aber mal sehen.

Zu 3. da hat sich nichts bei ihm eingenistet, weil Kaspersky den Aufruf verhindert hat.

Gruß
certifiedit.net
certifiedit.net 03.02.2013 um 19:52:05 Uhr
Goto Top
Hi Xaero1982,

sicher hat er jetzt einen Schutz - aber ich nehme an, dass Kaspersky keine lebenslange Testversionen ausgibt. Daher eben die Frage: Seit wann hat er denn Schutz...[...]. Damit ist dieses Einfallstor zumindestens Anzudenken.

3. Ich meinte nicht auf dem PC, sondern, wie er es beschrieb im o-ton: "er kam auch vor 3 Wochen nicht um eine Neuinstallation herum". Deshalb: Website, hatte ich zwar bisher noch nie, aber die Möglichkeit des Automatischen Nachladens besteht bei gängigen CMS wohl laut einer Kurzrecherche.

Gruß
Fidel83
Fidel83 03.02.2013 aktualisiert um 20:04:16 Uhr
Goto Top
Hallo

Ich würde das Ganze auch noch mit einem anderen AV gegenchecken. Kaspersky bringt auch gerne mal einen False Positive Alarm. Auf jeden Fall sollte dann aber keine Testversion genutzt werden. KIS 2013 kostet ne Einzellizenz kein Vermögen. Und wer am Schutz spart, braucht sich nicht über Befall wundern.

LG
Xaero1982
Xaero1982 03.02.2013 um 20:08:04 Uhr
Goto Top
Hi Fidel,

ob nun Testversion oder nicht. Wenn diese nicht abgelaufen ist, hat sie die gleichen Updaterechte und Settings wie die gekaufte. Spielt hier letztlich keine Rolle.

@certified,

naja eine Neuinstallation muss nicht immer ein Muss sein, wenn man wie hier nicht wirklich klar ersehen kann woher das kommt. Erste Recherchen zu diesem Trojaner ergaben da was anderes, daher auch meine Frage was der IE sagt face-smile Aber warten wir es ab ...

Gruß
certifiedit.net
certifiedit.net 03.02.2013 um 20:35:27 Uhr
Goto Top
Mir ging es eher um die Zeit vor der Installation.

Und wegen der Neuinstallation: es schien ja so, als wäre die Diagose bereits einmal so verlaufen, diesmal sollte man nun allerdings gegenchecken, woher und wie es dazu kam, bevor man Tabula Rasa macht. Bei einer Auswertung dessen kann man dann auch entscheiden, ob sich eine Reparatur lohnt - kommt natürlich auch auf die Daten an, dazu wären mehr Infos (Domain etc) sinnvoll.

http://onlinelinkscan.com/ Dazu folgender Link
drnatur
drnatur 03.02.2013 um 21:12:22 Uhr
Goto Top
hallo,

Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.

Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw. http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)

und mich dann noch eingehend mit
Joomla Security bzw. How to prevent your website from getting hacked
beschäftigt.

Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank face-wink)

mit freundlichen Grüßen,
drnatur
SlainteMhath
SlainteMhath 04.02.2013 um 09:06:18 Uhr
Goto Top
Moin,

und ganz wichtig:
Von einem sicheren (am besten per Linux Live CD) PC aus, alle Zugangspasswörter zum Webspace ändern. Kundenlogin, FTP Login, SSH Password, DB Password und alle Passöwrter "innerhalb" von Joomla.

lg,
Slainte
certifiedit.net
certifiedit.net 04.02.2013 um 09:13:05 Uhr
Goto Top
Hi,

die Linux LiveCD bringt ihm herzlich wenig wenn er, wie üblich dann mit einem (evtl) verwanzten PC und der gleichen Passwordbreite wieder darauf zugreift. face-wink
Shardas
Shardas 04.02.2013 um 09:45:34 Uhr
Goto Top
Ich habe es mit einem anderen PC aus einem anderen Netzwerk getestet. Hier blockt Avira Antivir mit einer vergleichbaren Meldung. Beim IE das Selbe (Es ist ja nicht der Browser der blockt, sondern das Antivir prog).

@certifiedit
Onlinelinkscan ergab keine Hinweise

@drnatur
Sucuri hat allerdings etwas gefunden:
da6fc7e0d00ec88993df6e8e29927390
Durchaus interessant und ein guter Punkt bei der Fehlersuche anzusetzen.

An alle anderen:
Vielen Dank für eure Hilfe (auch die Idee mit der LiveCD war wertvoll). Vermutlich ist tatsächlich ein Client Rechner befallen. Wobei auch dieser Kaspersky installiert hat (und recht neu aufgesetzt ist). An den Joomla Plugins und Modulen wurde eigentlich ewig nichts mehr geändert. Möglicherweise wurden diese aber aktualisiert.

Ich werde nun versuchen den Trojaner manuell zu entfernen und halte euch auf dem laufenden
certifiedit.net
certifiedit.net 04.02.2013 um 11:59:05 Uhr
Goto Top
Ok, Pardon, wurde, wie gesagt mit diesem Szenario bisher noch nicht konfrontiert. face-wink

Probiere mal alternative [Online] Virenscanner aus (bspw: Trend Micro Housecall ovgl, gerne auch mehrere) um deine Clients definitiv Virenfrei zu sichten.

Zu deinen Fragen

1. Wie kann sich ein Trojaner eigenständig in einen Webseitencode schreiben bzw woher kann dieser kommen?

WIe bereits gesagt kann das an verseuchten Plugins liegen, oder an fehlerhaften - Joomla ist relativ bekannt, dh gerne angegriffen, selbe Problematik hat(te) Windows auch den Ruf eingebracht.

2. Wie kann ich diesen Trojaner ausfindig machen?

Denke da bist du z.T schon selbst drauf gekommen.

3. Wie kann ich sicherstellen, dass dies nicht ein drittes Mal passiert? Nach der letzten Neuinstallation habe ich die Passwörter geändert.

Passwörter komplex gestalten (Level 1),
wie drnatur es schon angeführt hat nicht einfach das erst beste Plugin installieren, sondern auch die Bewertungen (gerade in Hinsicht auf sicheres Programmieren) beachten und vorallem schauen, wie es bei tertiären Formularen gehandelt wird.

Der erste Schritt wäre allerdings ein permanenter Virenschutz - Testversionen sind eigtl pro Forma immer nur "Brandbekämpfer".

Viel Erfolg
Shardas
Shardas 04.02.2013 um 18:57:08 Uhr
Goto Top
Hallo zusammen und alle, die vielleicht das Problem auch vielleicht mal haben werden.

Erstmal vorab: Ich vermute nicht dass es an den Plugins liegt. Diese existieren schon seit Jahren auf der Seite, wurden nicht geändert und befinden sich auch nicht auf der Blacklist.

So, den Trojaner konnte ich vorerst löschen. Was habe ich gemacht?

Ich habe die komplette Webseite lokal runtergeladen und nach dem Script gesucht was mit sucuri ausgespuckt hat. Dieser Dreckscode hatte sich in jede index.php Datei der Templates geschrieben (/templates). Egal ob Standard template von Joomla oder auch egal ob aktiviert od. deaktiviert. Sucuri cached leider die Abfragen 24H, daher kann ich meine Seite erst morgen wieder checken. Weder Kaspersky noch Avira blocken den zugriff, daher scheint die Seite wieder clean zu sein.

Offen bleibt die Frage wie das ein zweites Mal passieren konnte. Das wird mir niemand beantworten können, auf die Recherche muss ich selber gehen (Tipps werde ich befolgen). Fürs erste werde ich den Thread als gelöst markieren.

So Nebenbei: Ich hatte folgende Antivirenprogramme: Avira auf Firmenlaptop, Kaspersky auf einem anderen privaten Rechner und MSE auf diesen hier, von welchem der Screenshot stammt. Da MSE der einzige war, der nicht gemeckert hat, habe ich den runter und Kaspersky installiert. Lizenz wird nachbestellt.

Vielen Dank an alle beteiligten!
certifiedit.net
certifiedit.net 04.02.2013 um 19:02:35 Uhr
Goto Top
OK, aber bitte beobachte die Seite in den nächsten Tagen, es besteht die Möglichkeit, dass sich der Trojaner neu einnistet (= Nachlädt, falls nicht mehr vorhanden)

Viel Erfolg
drnatur
drnatur 04.02.2013 um 20:47:45 Uhr
Goto Top
Zitat von @Shardas:
Erstmal vorab: Ich vermute nicht dass es an den Plugins liegt. Diese existieren schon seit Jahren auf der Seite, wurden nicht
geändert und befinden sich auch nicht auf der Blacklist.

So, den Trojaner konnte ich vorerst löschen. Was habe ich gemacht?

Ich habe die komplette Webseite lokal runtergeladen und nach dem Script gesucht was mit sucuri ausgespuckt hat. Dieser Dreckscode
hatte sich in jede index.php Datei der Templates geschrieben (/templates). Egal ob Standard template von Joomla oder auch egal ob
aktiviert od. deaktiviert.

hallo,

freut mich, dass wir helfen konnten.
Eine (nein, zwei) Fragen hätte ich dann noch:
Welche Templates verwendest du?
Sind die Plugins alle aktuell?

liebe Grüße,
drnatur
P.S. Informier deinen Hoster (falls nicht schon geschehen) Der sollte an der Sicherheit seiner Server interessiert sein!
Shardas
Shardas 04.02.2013 um 22:15:12 Uhr
Goto Top
Ich verwende das Allrounder Template von lernvid. Die Programmieren ziemlich viel für Joomla und andere CMS Systeme.
Plugins sind Image Gallery von sigpuls und anticopy. Beide schienen allerdings nicht aktuell gewesen zu sein. Ist zwar eine Sicherheitslücke aber ich wage es dennoch zu behaupten dass sich kein trojaner dadurch Schreibrechte auf meinem Webspace geben und sich in Dateien hardcoden kann.

Die Plugins habe ich aktualisiert. Zusätzlich habe ich im Verwaltungspanel des Hosters den Schreibschutz aktiviert. Nun hat nichtmal weder mein Account noch irgend ein anderer Änderungsrechte. Bei Bedarf ändere ich das temporär.
certifiedit.net
certifiedit.net 04.02.2013 um 23:10:10 Uhr
Goto Top
Leider ist es so (wie beschrieben im Vergleich zu den WIn Systemen), dass kleinste Lücken für großes ausgenutzt werden können, wenn diese Programmieren zu dem noch populär (und nicht up2date sind umso mehr.

Denke aber der Schreibschutz ist dafür nun die effizienteste Prävention - evtl. zudem, wie vorgeschlagen noch ein regelmäßiges Backup.
SlainteMhath
SlainteMhath 05.02.2013 um 08:52:00 Uhr
Goto Top
Moin,

der Schreibschutz auf Dateisystemeben bringt nur bedingt Sicherheit. Joomla (und fast alle anderen CMS auch) speichern Content zumindest teilweise in der (My)SQL-DB. Es genügt also eine "simpler" SQL-Injection um den Schadcode (i.d.R. ein iFrame oder Javascript) in die DB zu schreiben und schon wird jedem Besucher präsentiert ohne auch nur einmal das Filesystem berührt zu haben.

lg,
Slainte
certifiedit.net
certifiedit.net 05.02.2013 um 10:01:36 Uhr
Goto Top
Logisch, aber die SQL Zugriffe kann er schlecht verhindern. Zudem besteht nun hoffentlich eine erhöhte Wachsamkeit gegenüber veralteten Modulen die entsprechende Injections erst ermöglichen.