Willkommen, Gast
Benutzername: Passwort: Angemeldet bleiben:
  • Seite:
  • 1
  • 2

THEMA: Malware-Warnung

Malware-Warnung 28 Mai 2018 10:43 #45684

Hallo zusammen

in den letzten Tagen musste ich leider auf 3 meiner Webseiten Malware feststellen. Gemäss Hosting-Provider sei die Infektion nicht über FTP erfolgt. Joomla und alle Erweiterungen sind auf dem neuesten Stand. Also liegt der Verdacht nahe, dass entweder Joomla oder eine Erweiterung oder ein Template eine Sicherheitslücke hat?!

In zwei Fällen war die index.php des Standard-Templates mit fremdem Code angereichert. Der Code befand sich am Ende der Datei. Einmal war es Protostar und einmal ein Template von Olwebdesign. Der dritte Fall ist unklar. Bei Interesse könnte ich den Code per PN zur Verfügung stellen (vielleicht will/kann das jemand analysieren).

Folgende Erweiterungen sind bei allen drei Webseiten installiert: Akeeba-Backup, JCE Editor Pro, Proforms Webformulare, ARI Image Slider, Bildergalerie Sigplus.

Dies einfach zur Info bzw. als Warnung.

Gruss
Christof
Folgende Benutzer bedankten sich: King Louis

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Malware-Warnung 28 Mai 2018 11:19 #45685

Hi Christof,

liegen die 3 Seiten alle im gleichen Account? Das ist prinzipiell eine schlechte Idee. Wenn eine Seite gehackt ist, breitet sich das meist auch auf die anderen aus.

Wahrscheinlich werden irgendwo Web Shells/Backdoors versteckt sein, über die Schadcode in die Templates injiziert wurde/wird. Der initiale Hack kann auch schon vor längerem erfolgt sein.
Aufrufe dieser Schaddateien tauchen in den Access Logs als POST Requests auf. Die solltest du dir unbedingt noch anschauen.

Die genannten Erweiterungen sind in aktuellen Versionen unbedenklich.

Gruß

Pascal

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Letzte Änderung: von kitepascal.

Malware-Warnung 28 Mai 2018 11:36 #45686

Hoi Christof

Danke für die Info.

Wie hast Du dies bemerkt? (Verhalten, falscher Content,...?)

Viele Grüsse
Urs

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Viele Grüsse
King Louis

Malware-Warnung 28 Mai 2018 12:40 #45687

kitepascal schrieb: liegen die 3 Seiten alle im gleichen Account? Das ist prinzipiell eine schlechte Idee. Wenn eine Seite gehackt ist, breitet sich das meist auch auf die anderen aus.Pascal

Nein, die 3 Webseiten sind bei 3 unterschiedlichen Hosting-Providern gespeichert. Das fand ich ein bisschen beunruhigend. Ich werde noch versuchen, die access.logs auszuwerten.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Malware-Warnung 28 Mai 2018 13:58 #45688

King Louis schrieb: Wie hast Du dies bemerkt? (Verhalten, falscher Content,...?)

Meine Hosting-Provider scannen ihre Server regelmässig und verständigne ihre Kunden über Vorkommnisse.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Letzte Änderung: von crimle.

Malware-Warnung 29 Mai 2018 08:18 #45689

Es sieht nun beinahe so aus, als ob es eben doch eine Sicherheitslücke im Joomla gibt. Konkret im Standard-Template Protostar. Einer meiner Hosting Provider schreibt

Es wurde ein Sicherheitsrisiko in folgender Datei gefunden:
public_html/templates/protostar/html/com_media/imageslist/default_folder.php
[20180509] XSS vulnerability in the media manager
Inadequate filtering of file and folder names lead to various XSS attack vectors in the media manager.

Gruss
Christof

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Malware-Warnung 29 Mai 2018 09:31 #45690

Wenn das System gehackt wurde, ist es sehr aufwendig infizierte Dateien zu identifizieren - und ein Restrisiko, dass doch nicht alles gefunden wurde, bleibt immer. Also: Backup einspielen!

Danach eine Firewall einrichten, die Dein CMS schützt - zusätzlich zu dem was der Hoster macht. Login Versuche wird er ja nicht blockieren....
www.rsjoomla.com/joomla-extensions/joomla-security.html
oder
www.akeebabackup.com/products/admin-tools.html

Gruss
Hitsch

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Malware-Warnung 29 Mai 2018 10:22 #45691

Solche "Firewalls" können helfen, müssen aber nicht. Problem: Sie greifen erst, wenn ein Angreifer bereits "drin" ist.
Ich möchte hier dasdada publik machen - eine Idee, wie man per .htaccess Angriffe abwehren kann.

Im Übrigen - mir ist ein solcher Angriff nicht unbekannt, habe ich schon mehrmals erlebt. Der Hoster war jedes mal derselbe. Ich vermute stark, dass hier Benutzerkonti nicht genügend gegeneinander abgeschirmt werden (der Hoster stellt das selbstverständlich in Abrede). Vielleicht verrät uns @crimle, wer seine Hosterei betreibt - dann könnte man Notizen vergleichen?
Folgende Benutzer bedankten sich: King Louis

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Joomla! 3: Professionelle Webentwicklung von David Jardin und Elisa Foltyn - das Standardwerk zu Joomla! 3
Wer nicht über den Anstand verfügt, ein kleines "Thänx" auszusprechen, muss sich nicht wundern, künftig ignoriert zu werden!
Kein Support via PM oder Mail. Entsprechende Anfragen werden ignoriert.
Letzte Änderung: von Chris Hoefliger.

Malware-Warnung 29 Mai 2018 11:19 #45692

Hoi Chris

Vielen Dank für den Link. Soeben meine Seite überprüft.
Wirklich hilfreich und erhellend!

Gruss
Urs

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Viele Grüsse
King Louis

Malware-Warnung 29 Mai 2018 11:29 #45693

Yep, der Hoster wäre noch interessant.Es gibt die besseren und günstigeren...

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Viele Grüsse

Adi Heutschi
www.adiheutschi.ch - webdesign - hosting - seo

Meine Dienste hier sind ehrenamtlich!
Umso mehr freue ich mich, wenn Du mir als Anerkennung eine positive Google Rezension hinterlassen würdest. Das kostet lediglich ein paar klicks... goo.gl/ZgD3jx VIELEN DANK!
  • Seite:
  • 1
  • 2