Hallo,
ich brauche mal eure Hilfe. Mein Provider hat mit heute folgendes mitgeteilt.
Sehr geehrter Herr
Bei Prüfungen der Webseitenstrukturen unseren Server ist den Kollegen der Technik aufgefallen das Ihre Webseite fc-vhs-kaarst.de mit Schadsoftware infiltriert wurde.
Um weitern Schaden vorzubeugen bitte ich Sie hier ein Prüfung der Seite durchzuführen und Ihre genutzten Softwareprodukte ( CMS, Shop, etc ) zu überprüfen und mit den nötigen Sicherheitspatches zu versehen.
Wir bitte Sie diese Änderungen bis zum 28.02 durchzuführen. Sollten sich nach diesem Zeitpunkt noch Schadsoftware auf der Webseite befinden werden wir aus Sicherheitsgründen die Seite abschalten. Ihre Inhalte werden dann in einer gesicherten und gepackten Datei auf dem Server abgelegt. Sie haben hier die Möglichkeit sich Ihre Daten per FTP herunterzuladen.
Eine Bereinigung Ihrer Webseite ist in vielen Fällen möglich indem Sie ein Backup Ihres Systems wiederherstellen und dann benötigte Patches nachinstallieren.
Natürlich stehe wir Ihnen gerne Beratend zur Seite. Bitte haben Sie Verständnis dafür das wir diesen Service nicht kostenfrei anbieten können.
Meine Frage, wie gehe ich jetzt vor, wie fange ich an um das zu entfernen.
Backups gibt es natürlich, aber welches ist noch Schadsoftware frei.
Wie finde ich den schädlichen Code usw.
Für ein paar Tipps wäre ich dankbar.
Es handelt sich bei der Seite um unsere VHS-Foto-Gruppe, der Seite ich aufgebaut habe.
Gruß
Jörgen
So auf die Schnelle ist auf deiner Seite nicht's erkennbar.
Ich würde zunächst den Provider bitten, die Art der erkannten Schadsoftware näher zu spezifizieren und den genauen Erkennungszeitpunkt bekannt zu geben um entsprechend ein passendes Backup einspielen zu können.
Und bei der Gelegenheit gleich um eine Umstellung auf HTTPS mit SSL-Zertifikat von letsencrypt bitten. Ist ja kostenlos. Wenn die ihre Sicherheit löblicherweise so ernst nehmen, dann bieten sie sowas ja an.
Offline
Hi,
habe auch verschiedene Scanner laufen lassen und nichts negatives festgestellt.
Ich habe jetzt erst mal um mehr Details gebeten, kann da natürlich am Wochenende keinen erreichen.
Das entsprechende Verzeichnis usw. muss sich ja rauskriegen lassen.
Lade dir mal das Plugin Check Files Integrity runter und führe es aus. Dieses Plugin prüft ob es eine manipulation der Piwigo-Dateien gegeben hat. Es gibt einige User die hier eine Manipulation festgestellt haben und entsprechende Probleme mit Google usw. bekamen. Wie genau die Manipulationen entstanden sind, ist noch nicht bekannt. Lücke Server, Passwort oder Piwigo - unbekannt.
Das Plugin ist von einem der Entwickler.
Beitrag geändert von WuppiGER (2017-02-13 14:01:54)
Offline
Hallo,
danke werde ich prüfen.
Es sind so ca. 6 Dateien mit Schadcode verseucht. "eval(base64_decode" Code ist da drin. Wenn das alles ist, sollte das schnell zu entfernen sein.
Meine Frage noch, gibt es einen Schadcode Scanner den ich über die Dateien auf dem Server laufen lassen kann?
Eine lokale Kopie habe ich mit verschieden Scannern auf dem PC geprüft aber nichts gefunden, bzw. die finden den "Eval" Code nicht.
Den habe ich nur mit einem Text Scanner gefunden weil ich wusste wonach ich suchen musste.
Offline
hast ja schon gemacht ;)
Ein Schadcode-Scanner für php? Wäre sicher nicht verkehrt - aber ich denke das wird schwierig bis unmöglich?
"eval(base64_decode" <- ist halt nicht Grundsätzlich böse. Auch wenn ich eine Datei per php öffne und beschreibe ist das erstmal nicht böse - woher soll der Scanner wissen das der genau DAS nicht machen darf. So Scanner müssten doch sehr auf das jeweilige php-script abgestimmt sein? Nur dann reicht ja ein File-Scanner der die Hash-Werte überprüft (wobei ich Check Files Integrity für ETWAS fragwürdig halte ... sobald die verantwortlichen für den Schadcode da hinter kommen, sorgen die gleich dafür das die hash-werte geändert werden oder setzen den Scan auf "alles grün" - sollte ja bei Schreibzugriff auf php-Dateien nicht mehr DAS Problem sein ... mhhh)
Offline
Das Muster das der Eintrag in der Index Datei hinterlassen hat kann sonst nirgends gefunden werden.
Liest du im Englischen Teil mit?
Das Plugin gab folgendes Ergebnis:
Ok, after deleting some lines in the index.php
it says:
Piwigo 2.8.6, 573 files scanned in 0.147 seconds
Well done! Everything seems good :-)
Der Provider sagt noch es wurden Dateien hinzugefügt.
Ist z.B. themes15.php ein Teil von piwigo?
Danke
Offline
Joergen schrieb:
Das Muster das der Eintrag in der Index Datei hinterlassen hat kann sonst nirgends gefunden werden.
Liest du im Englischen Teil mit?
ja lese ich ;)
lass uns auch da bleiben - da ist ein Entwickler am Start - ist sicher hilfreicher ;)
----
Und damit andere mit gleichen Problem nicht suchen müssen: http://piwigo.org/forum/viewtopic.php?id=27709 - die Weiterführung dieses Threads im englischsprachigen Forum.
Offline