Virusbefall

Hier können Probleme und alles andere in Deutscher Sprache gelöst werden.
Post Reply
cora-lee
Regular
Posts: 15
Joined: Mon Nov 15, 2010 1:03 pm

Virusbefall

Post by cora-lee »

Hallo!

So blöd wie ich war, habe ich das Update im Dezember nicht gemacht und habe nun ein Problem. Das Ding heißt JS/Flax.A und wird von Avira Premium Security Suite gemeldet und der Blog nur unter Protest geladen. Mein Computer hatte ihn übrigens auch.

Aber jetzt nach vorne schauen. Die Datenbank auf dem Server ist hoffentlich nicht betroffen. Da es auch meine Webseite erwischt hatte (allerdings war das CreateCSS), gehe ich davon einfach mal aus. Kann ich jetzt einfach das Ganze löschen (vorher Bilder sichern) und dann die 1.5.5 draufziehen? Das Template hatte ich gerade angepasst und offline -- hoffentlich virenfrei -- gespeichert.

Wäre für Hilfe dankbar!
Joke
Regular
Posts: 93
Joined: Wed Dec 29, 2010 1:10 pm
Location: Deutschland
Contact:

Re: Virusbefall

Post by Joke »

Hallo cora-lee!

Ich kenne mich mit Viren auch nicht besonders aus, aber ich glaube nicht das sich der Virus auch auf die Datenbank auswirkt!

Wenn du alle Bilder gesichert hast, dann spiele die 1.5.5 neu auf den Server, danach müsste die neue Version auf die Datenbank zugreifen können.

Gruss
Joke
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Virusbefall

Post by Timbalu »

Überprüfe alle Ordner mit Schreibberechtigung auf Dateien, die nicht zu Serendipity gehören.
Dies können u.a. sein: templates, archives, uploads, und auch diejenigen, die im Blogeintrag zur Security Version angemahnt wurden, also bundled_libs/ xinha htmlarea etc.
Wenn das wirklich geprüft ist, kann eine überinstalliertes 1.5.5. den Spuk beenden.
Bitte auch die Forum Suche benutzen, falls noch Dinge im Weiteren unklar.
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
cora-lee
Regular
Posts: 15
Joined: Mon Nov 15, 2010 1:03 pm

Re: Virusbefall

Post by cora-lee »

Danke! Tatsächlich ist der bundled_libs Order befallen. Was ist in dem Ordner? Kann ich den einfach löschen ohne Daten zu verlieren? Alle anderen Order sind -- laut Virenscan -- sauber.
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Virusbefall

Post by Timbalu »

Erstaunlich, der sollte nun gerade gar nicht schreibberechtigt sein! Beschreib mal was...!
Eigentlich meinte ich den htmlarea/ ordner, war aber zu faul zum nachgucken gewesen.
Was du im bundled-libs/ löscht solltest du danach alles durch die 1.5.5 ersetzen, sonst geht wahrscheinlich gar nix mehr....
htmlarea/ könnte man gefahrlos löschen, allerdings funktioniert dann der WYSIWYG-Editor nicht mehr.

Garvin hat im Forum irgendwo in diesem Zusammenhang mal aufgeschlüsselt was man in einer normalen S9y Installation alles löschen könnte, ohne die Grundfunktionen zu verlieren. Das war eine ganze Menge, swoeit ich mich erinnere. ;-) Allerdings ist die Full oder Lite Version ausreichend sicher - falls wirklich mal was vorkommt, ist es meistens 3rd party Software.

Virensscannern sollte man nur bedingt vertrauen....
Am besten ist IMHO alles zu sichern was einmal von dir bearbeitet oder hochgeladen wurde (uploads, templates plugins...?), sowie die serendipity_config_local.inc.php, dann alles löschen und neu aufspielen.
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
cora-lee
Regular
Posts: 15
Joined: Mon Nov 15, 2010 1:03 pm

Re: Virusbefall

Post by cora-lee »

Danke Ian! Werde das in Angriff nehmen! Und Virenscannern traue ich auch nur bedingt :roll:

Was genau infiziert ist, kann ich nicht sagen. Ich weiß nur, dass bei dem Versuch, auf die Seite zu kommen der bundled als infiziert bezeichnet wurde. Leider kenne ich mich mit der Materie nicht so wirklich gut aus.

Nachtrag:
Habe gerade den ganzen Ordner gescannt und er hat nichts gefunden. Die Virenwarnung von Avira hänge ich mal ran. Es scheint mir eine Variante von dem CreateCSS zu sein (zumindest ist das der Name, den ich gefunden habe), der seit ein paar Tagen unterwegs ist. Das muss leider bis nach Ostern warten.

Bis bald!
Attachments
virenwarnung.jpg
virenwarnung.jpg (40.16 KiB) Viewed 6655 times
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Virusbefall

Post by Timbalu »

Huch, bin gerade über den Nachtrag gestolpert.

CreateCSS gibt es meines Wissens nicht als bundle in Serendipity - schon gar nicht in bundled-libs/, wenn schon eher in htmlarea/modules/. Die Domain xn-xxx.com ist sicherlich böse und auf ein vulnerability von CreateCSS zurückzuführen. Allerdings kann ich nicht sehen wie das mit dem security update von 1.5.5 und der kompromitierbaren /htmlarea/ Geschichte zusammenhängt und schon gar nicht mit der Anmahnung in bundled-libs.
Es gibt auch keine CreateCSS() oder div_color() Funktionen, die solche Sachen eventuell zulassen wie auf http://blog.sucuri.net/category/hacked vermerkt.
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
cora-lee
Regular
Posts: 15
Joined: Mon Nov 15, 2010 1:03 pm

Re: Virusbefall

Post by cora-lee »

Hallo Ian,

wie gesagt, ich bin ein Laie, was die ganzen Zusammenhänge und was wo und überhaupt betrifft.

Allerdings wird die Sache jetzt immer kurioser. Nun war ich -- urlaubsbedingt -- ein paar Tage offline und nun ist meine Seite bei Google als infiziert gemeldet. Sie hätten gestern etwas gefunden, was nicht sein kann, weil der Ordner, der angeblich infiziert ist (der Blog selbst) gar nicht mehr an der Stelle zu finden ist, wo er der Meinung von Google nach sein sollte *grins* ... eigentlich nicht lustig, aber spricht für die 'Schnelligkeit' von Google.

Werde jetzt mal das Forum durchsuchen und den Blog sauber machen, alles infizierte desinfizieren und dann das Update hochladen.

Nachtrag:
Der CreateCSS hat nicht nur diese Farbcode-Variante, sondern auch eine, wo er einfach eine Extrazeile im Head einfügt, die als css-style-Link (http://..../js.php) getarnt ist und dann auf eine infizierte Seite weiterleitet.

2. Nachtrag:
Wo kann ich die Liste mit den Dateien finden, die ich unbedingt brauche? Ich habe eben das Forum durchsucht, allerdings nichts gefunden.
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Virusbefall

Post by Timbalu »

suche mal nach "gehackt" da findest du die meisten deutschsprachigen Beiträge zum Thema.

Garvins Beitrag: http://board.s9y.org/viewtopic.php?f=10 ... #p10422133

Wobei eine release Version mit allem ausreichend sicher ist, wenn du vorher alle beschreibbaren Ordner desinfiziert hast.
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
cora-lee
Regular
Posts: 15
Joined: Mon Nov 15, 2010 1:03 pm

Re: Virusbefall

Post by cora-lee »

Auf 'gehackt' bin ich nicht gekommen :) Danke! Englisch wäre übrigens auch okay gewesen.

Nachtrag:
Alle beschreibbaren Ordner desinfizieren ... das ist wirklich ein Problem, da es sich momentan um die 200 Dateien handelt (html und php). Deshalb versuche ich gerade alles zu löschen, was ich nicht brauche und dann mich ans Durchsuchen und ändern zu machen.
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Virusbefall

Post by Timbalu »

Also diese Ordner sind nicht soooo viele (siehe weiter oben).
Dann würde ich den umgekehrten Weg gehen und alles (uploads, templates/deinTemplate, etc) eigene und die serendipity_config_local.inc.php sichern und dann einfach alles löschen und neu aufspielen. Vielleicht hast du den Überblick schneller.
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
cora-lee
Regular
Posts: 15
Joined: Mon Nov 15, 2010 1:03 pm

Re: Virusbefall

Post by cora-lee »

Es ist ja nicht nur der Blog betroffen. Die Internetseite selbst, das Gästbuch und dann noch die Shopdateien, wobei ich das Hoffnung habe, dass die nicht betroffen sind. Aber sicherheitshalber werde ich auch die durchforsten.

Also das Template und Bilder sichern, die serendipity_config_local.inc.php habe ich gefunden und dann einfach die 1.5.5 raufziehen?
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Virusbefall

Post by Timbalu »

Nö!
Raufziehen geht ohne sichern. Das wäre nur im Falle gewesen, du hättest sicherheitshalber alles nicht selbstgemachte tatsächlich vorher gelöscht um eventuelle Mitbringsel aus dem alten Blog sicher gekillt zu haben. :wink:
Aber wenn du sowieso am forsten bist, kannst du das ja auch so fortsetzen.

Interessant wäre natürlich WAS da WAS verursacht hat. Dann fiele eventuell die Diagnose der Bereinigung auch leichter...
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
cora-lee
Regular
Posts: 15
Joined: Mon Nov 15, 2010 1:03 pm

Re: Virusbefall

Post by cora-lee »

Laut 1&1 hatte ich einen Trojaner, der mein FTP-Passwort ausgespät und dann die Daten verschickt hat, aber so ganz glaube ich das nicht.

Nachtrag:
Funktioniert alles wieder. Danke für die Hilfe!
Post Reply