Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Alle installationsbezogenen Probleme hier posten. Dies sollte die erste Anlaufstelle bei Problemen sein.
Locked
User avatar
kukki
Posts: 1707
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by kukki »

:? Warnung vor viel Arbeit!

Folgende Situation ist bisher nach mehrmaliger Recherche und Anfrage bestätigt:

Vorspiel:
bei der Modifikation einer Website fiel mir das ewig lange Warten auf. Meine Fritzbox 7320 zeigte aber, dass voller Datenschub anlag - keine Störungen, mein Virenscanner ist aktiv und verhält sich ruhig, ein "ping" an die entsprechende Website zeigte keine überhöhten Werte - 42ms.
Darauf hin habe ich beim Provider nachgeschaut, ob ein Server lahmt oder eine Wartung/ Nichterreichbarkeit vorliegt .... alles im grünen Bereich.

Ursache:
Als mich dann der Techniker zurückrief, bestätigte er mir, was ich schon am Bildschirm sah:

Image

Es werden Daten von/an anderen Websites (Frankreich, Deutschland, USA, Canada, Italien ...) übertragen, die nicht zum System gehören.
Seit dem 15.01.2014, 23:15 Uhr (das war die ältete Malware!) wird dieser Spuk mit Schadecode, verstärkt seit 16.01.2014 verbreitet und den findet man u.a. in alles *.js-files im Include-Verzeichnis:

z.Bsp. md5.jg
Image

Google hat bereits einige meiner Kunden abgemahnt oder/ und die Seiten wegen Malware gesperrt.
Da dieser Code auf vielen verschiedenen WebServern fast(?) immer an der gleichen Stelle zu finden ist, liegt die Vermutung nahe - neben dem Sicherheitsproblem, dass sich der Hacker mit dem phpWCMS auskennt oder halt gezielt nach *.js-files scannt, es sind aber nicht alle Files davon betroffen, was auf eine gute Kenntnis schließen ließe. :evil:

Somit habe ich angefangen, bis heute früh 03:15 alle betroffenen Kunden davon zu befreien. Vielleicht bemerkt Ihr soetwas auch :?:

PS.: meine Spielwiese ist sauber und läuft flott durch!!
Last edited by kukki on Sat 18. Jan 2014, 17:54, edited 1 time in total.
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
User avatar
top
Posts: 535
Joined: Fri 11. Aug 2006, 15:03
Location: Eutin

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by top »

Danke für den Hinweis.

Vorhin noch über einen ähnlichen Beitrag im Piwik-Forum gestolpert: http://forum.piwik.org/read.php?5,11003 ... msg-110079

Die Wahrscheinlichkeit, dass die dort betroffenen zufällig auch phpwcms im Einsatz haben, halte ich doch für sehr gering.
Ich gehe daher davon aus, dass die Schwachstelle nicht bei phpwcms zu suchen ist. :wink:
User avatar
juergen
Moderator
Posts: 4556
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by juergen »

Man kann das auch nicht ansehen kukki weil:
Attachments
kukkis_malware.jpg
User avatar
kukki
Posts: 1707
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by kukki »

top wrote: die Schwachstelle nicht bei phpwcms zu suchen ist. :wink:

das glaube ich auch nicht, aber eine gezielter Scann auf include-File bringt bei einer Sicherheitslücke auf dem Server einige Treffer :shock:

Danke für Deine Bestätigung, soweit war ich noch gar nicht, ich sitze immer noch über den Nachwehen :|

@jürgen: ich weiß, Website säubern, mit Googlewebmastertools rangehen und die Website wieder freischalten! Das ist aber nicht meine Seite, sondern auf der liegt der Code zur Weiterverbreitung :| :mrgreen:
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
User avatar
juergen
Moderator
Posts: 4556
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by juergen »

kukki wrote: ...aber eine gezielter Scann auf include-File bringt bei einer Sicherheitslücke auf dem Server einige Treffer ...
Was meinst du damit ?
User avatar
kukki
Posts: 1707
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by kukki »

Ich bin kein Hacker-Experte, aber mir geht durch den Kopf, weil immer das gleiche Verzeichnis davon betroffen war - wer auf einen Server einbrechen kann, bringt es auch fertig nach Verzeichnissen scannen zu lassen, um dort Schadecode einzufügen. Vielleicht über eine Hintertür von Piwik oder über einen TbEdit, die Dinger sind auch noch auf vielen Websites aktiv, vielleicht auch über Frontpage-Seiten, iFrames ... was weiß ich. Aber der Verzeichnisname INCLUDE ist regelrecht exklusiv für einen großen Schaden mit vielen Zielen (*.js oder *.json) :mrgreen:
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
User avatar
juergen
Moderator
Posts: 4556
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by juergen »

dein Beispiel ruft aber ein Programm im Domain Verzeichnis auf, die sind noch mehr verbreitet ! ;)
User avatar
Oliver Georgi
Site Admin
Posts: 9888
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by Oliver Georgi »

Seit Jahren ist keines der von mir betreuten phpwcms gehackt worden — ich habe eine 1.1-RC1 aus 2003 laufen. Gut, sag niemals nie und das „mir“ das nicht passieren kann. Ein paar grundsätzliche Feststellungen zu diesem Thema:
  • in aller Regel wurden gekaperte System von Windows Rechner aus administriert und betreut — hier deutet alles auf Accountdiebstahl hin: Malware/System infiziert, Passwörter abgegriffen (schützt Eure Produktivsysteme — keine Installation von „Test”-Software, die es bei Uploaded & Co. gibt.)
  • es wurden Scripte auf den Systemen eingesetzt, die den Einbruch gestatteten (teils namhafte Drittsoftware, Eigenentwicklungen)
  • noch immer falsche Serversettings wie register_globals On
  • kompromittierte Serverstrukturen — sprich Einbruch von hinten durch die Brust
  • zu einfache und leicht zu erratene Logins/Kennworte
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
User avatar
kukki
Posts: 1707
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by kukki »

Wie OG schon angesprochen hat, ich habe zum Bsp. alle meine FTP-Passworte, auch die für die Kunden sofort geändert und nicht so etwas wie 12345 verwendet.

EDIT: ----------------------------------------------------------------

u.a. wurde in folgenden Scripten Schadecode eingefügt, der da auch nicht rein gehört, schnell zu finden, da dieser immer nach dem "?>" als neues php-Script steht::
Thu Jan 16 11:46:19 mod_ads/backend.default.php
Thu Jan 16 11:46:21 mod_ads/module.default.php
Thu Jan 16 11:46:23 mod_bmcatalog/backend.default.php
Thu Jan 16 11:46:25 mod_bmcatalog/module.default.php
Thu Jan 16 11:46:27 mod_calendar/backend.default.php
Thu Jan 16 11:46:29 mod_calendar/module.default.php
Thu Jan 16 11:46:31 mod_feedimport/backend.default.php
Thu Jan 16 11:46:33 mod_feedimport/module.default.php
Thu Jan 16 11:46:35 mod_glossary/backend.default.php
Thu Jan 16 11:46:37 mod_glossary/module.default.php
Thu Jan 16 11:46:39 mod_googlemaps/backend.default.php
Thu Jan 16 11:46:41 mod_googlemaps/module.default.php
Thu Jan 16 11:46:43 mod_imagerotator/backend.default.php
Thu Jan 16 11:46:45 mod_imagerotator/module.default.php
Thu Jan 16 11:46:47 mod_seolog/backend.default.php
Thu Jan 16 11:46:49 mod_seolog/module.default.php
Thu Jan 16 11:46:51 mod_shop/backend.default.php
Thu Jan 16 11:46:52 mod_shop/module.default.php
Thu Jan 16 11:46:54 mod_sliderjs/backend.default.php
Thu Jan 16 11:46:56 mod_sliderjs/module.default.php
Image
[Jürgen, bitte stehen lassen, dazu kommt nicht ein wichtiger Hinweis, siehe dann noch unten!]

Ebenso wurde auch in PiWik-Scripten(JS) der Code verändert.
Last edited by kukki on Sat 18. Jan 2014, 18:35, edited 4 times in total.
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
User avatar
Oliver Georgi
Site Admin
Posts: 9888
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by Oliver Georgi »

ich habe die Schadcodeinfos entfernt. Wenn dann Screenshot!
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
User avatar
juergen
Moderator
Posts: 4556
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by juergen »

Hmmm.... Olivers Bitte nach dem Bild habe ich eben erst gelesen.

Da hatte ich das Bild schon rausgenommen.

Als Grund würde ich sagen: Nicht phpwcms spezifisch. :?
User avatar
kukki
Posts: 1707
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by kukki »

Dann möchte ich noch auf eine Falle Hinweisen:

:!: Mit einem Upgrade ist die ganze Sache noch nicht vorbei. Ich habe bemerkt, dass ältere Systeme, die noch nach einem Upgrade weiterhin die alten "antiquierte" Scripte benutzen und sich davon noch nicht getrennt haben, dass Problemm beibehalten, denn in der Standardinstallation werden (wie bei mir auch ab 2010 ff für die Spielweise - aber unbenutzt!!) diese Codeschnpsel an Schaden bestehenbleiben. Die müssen per Hand rausgefindert werden.

Ich habe von meinem Sohn einen Bot bekommen, der diese Arbeit unterstützt. Ladet Euch Eure Scripte von phpWCMS vom Server einfach in ein Testverzeichnis lokal auf Euern PC. Dann setzt Ihr darauf diesen Bot an, der anhand REGULÄREN Ausdrücke die entsprechenden Scripte dafür raussucht und in einer Log-Liste anzeigt. Diese kann man per Hand abarbeiten, geht schneller, als die Scripte erneut hochzuladen. (meistens 10-15 Stück).

Image

Den Bot könnt Ihr Euch selber runterladen und ich bitte Euch, dafür meinem Sohn eine Anerkennung (DONATE) zukommenzulassen. Als Student im letzten Sudienjahr ist dies ein gute Bestätigung (Biotechik-Informatik!)

Download Bot(incl. F1 Hilfe)
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
User avatar
Oliver Georgi
Site Admin
Posts: 9888
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Achtung: Bitte lesen - Sicherheit geht vor! (Malware)

Post by Oliver Georgi »

Das geht nicht Kukki. Hier geht es um phpwcms nicht Bots. Linke auf Deine Seite und erkläre bitte dort, was und worum es geht. Gleiches gilt für Spenden.
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
Locked