Ich hab das letzte Update eingespielt und nun bekomme ich einen Hinweis von meinem Hoster das sich ein Virus darin befindet ? Kann mir einer Verraten ob noch jemand diesen Alarm hat ?
mod_clamav/0.11: Virus 'HTML.Exploit.CVE_2013_0026' found in '/xxxx/serendipity/htmlarea/XinhaCore.js'
mod_clamav/0.11: Virus 'HTML.Exploit.CVE_2013_0026' found in '/xxxx/serendipity/htmlarea/XinhaCore.js'
Virus in S9y ?
Re: Virus in S9y ?
Nö. Bisher nicht.
Solange du den XINHA WYSIWYG Editor und IE9 nicht verwendest, sollte sowieso keine Gefahr bestehen... und das wäre sowieso eine eher unschöne Mischung...
Horde hatte lt. Google vor 3 Tagen ähnliches: http://bugs.contribs.org/show_bug.cgi?id=7358
Das nun dieselbe Datei auf verschiedenen Systemen zugleich gehackt ausgeliefert sein sollte ist eher unwahrscheinlich. Eher das da ein Virenscanner eine neue Erkennung ausprobiert und noch nicht feingetunt ist... aber das ist geraten.
Die Md5 summen der zip-RC3 stimmen jedenfalls überein und die Datei aus dem Repository ist vier Jahre alt....
Möglicherweise aber hattest du mal eine verwundbare Version, die schon vor S9y 1.5.5 vielleicht etwas manipulierte.... ich tippe aber eher auf den Scanner.
Solange du den XINHA WYSIWYG Editor und IE9 nicht verwendest, sollte sowieso keine Gefahr bestehen... und das wäre sowieso eine eher unschöne Mischung...
Horde hatte lt. Google vor 3 Tagen ähnliches: http://bugs.contribs.org/show_bug.cgi?id=7358
Das nun dieselbe Datei auf verschiedenen Systemen zugleich gehackt ausgeliefert sein sollte ist eher unwahrscheinlich. Eher das da ein Virenscanner eine neue Erkennung ausprobiert und noch nicht feingetunt ist... aber das ist geraten.
Die Md5 summen der zip-RC3 stimmen jedenfalls überein und die Datei aus dem Repository ist vier Jahre alt....
Möglicherweise aber hattest du mal eine verwundbare Version, die schon vor S9y 1.5.5 vielleicht etwas manipulierte.... ich tippe aber eher auf den Scanner.
Regards,
Ian
Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
Ian
Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
Re: Virus in S9y ?
Jo also hab mir nochmal die ZIP für S9Y 1.6.2 geladen und durch 2 Engines gejagt Virenfrei ... nur als Info
Re: Virus in S9y ?
Hallo miteinander!
Bei Mokkujin ging es um die Frage, ob ein S9Y-Update-Paket einen Virus enthält.
Bei mir darum, wenn sich irgendwann später ein Virus oder Trojaner auf die Webpräsenz mit S9Y einschleicht.
Vielleicht hat nicht jeder auf dem Server bzw. in dem Bereich, auf/in dem das Blog betrieben wird, einen Virenscanner.
Man kann das Blog aber indirekt scannen, über das Backup, das man sich mit Hilfe eines FTP-Programms ab und zu zieht.
Der Virenscanner auf dem eigenen Desktop oder Notebook kann das scannen. Er hat bei mir letztens wieder Trojanerfunde gemeldet. Die werden automatisch in die Quarantäne verschoben. Nun kann das Antivirenprogramm so eingestellt sein, dass es noch nicht mal warnt, wo es automatisch den Fund aus dem Verkehr gezogen hat.
Falls das bei Euch so ist, solltet Ihr mal in die Quarantäne schauen. Und dann kann man sich an das Löschen des Virusses auf dem Server machen, mit dem FTP-Programm - oder?
Vielleicht gibt es Viren oder Trojaner, die sich so doch nicht über "Löschen" entfernen lassen?
Der Fund bei mir war jetzt in den beiden letzten Backups meines Blogs die Datei f.php.gif im Pfad/Ordner:
htmlarea\plugins\ExtendetFilesManager\demo_images\
Hier liegen sonst noch bikerpeep.jpg und wesnoth78.jpg.
Ich nehme an, diese beiden jpg-Dateien sind die regulären Beispiele; richtig?
Mein Antivirenprogramm erkennt in der Datei f.php.gif den Trojaner PHP\BackDoor.C99Shell
Vielleicht gibt es noch was hinzuzufügen?
Idee: Vielleicht könnten S9y-User in einem Thread hier im Forum derlei Virenfunde melden? Weil sich so vielleicht aufdecken ließe, ob S9y systematisch von Virenaussendern angegriffen wird oder irgendwo eine Schwachstelle ist/sein könnte?
Beste Grüße
Czorneboh
Bei Mokkujin ging es um die Frage, ob ein S9Y-Update-Paket einen Virus enthält.
Bei mir darum, wenn sich irgendwann später ein Virus oder Trojaner auf die Webpräsenz mit S9Y einschleicht.
Vielleicht hat nicht jeder auf dem Server bzw. in dem Bereich, auf/in dem das Blog betrieben wird, einen Virenscanner.
Man kann das Blog aber indirekt scannen, über das Backup, das man sich mit Hilfe eines FTP-Programms ab und zu zieht.
Der Virenscanner auf dem eigenen Desktop oder Notebook kann das scannen. Er hat bei mir letztens wieder Trojanerfunde gemeldet. Die werden automatisch in die Quarantäne verschoben. Nun kann das Antivirenprogramm so eingestellt sein, dass es noch nicht mal warnt, wo es automatisch den Fund aus dem Verkehr gezogen hat.
Falls das bei Euch so ist, solltet Ihr mal in die Quarantäne schauen. Und dann kann man sich an das Löschen des Virusses auf dem Server machen, mit dem FTP-Programm - oder?
Vielleicht gibt es Viren oder Trojaner, die sich so doch nicht über "Löschen" entfernen lassen?
Der Fund bei mir war jetzt in den beiden letzten Backups meines Blogs die Datei f.php.gif im Pfad/Ordner:
htmlarea\plugins\ExtendetFilesManager\demo_images\
Hier liegen sonst noch bikerpeep.jpg und wesnoth78.jpg.
Ich nehme an, diese beiden jpg-Dateien sind die regulären Beispiele; richtig?
Mein Antivirenprogramm erkennt in der Datei f.php.gif den Trojaner PHP\BackDoor.C99Shell
Vielleicht gibt es noch was hinzuzufügen?
Idee: Vielleicht könnten S9y-User in einem Thread hier im Forum derlei Virenfunde melden? Weil sich so vielleicht aufdecken ließe, ob S9y systematisch von Virenaussendern angegriffen wird oder irgendwo eine Schwachstelle ist/sein könnte?
Beste Grüße
Czorneboh
Re: Virus in S9y ?
Im upload-skript der htmlarea gab es ja mal wirklich eine Lücke, vielleicht wurde dein Blog wurde damals infiziert (ich gehe davon aus, dass deine s9y-Version aktuell ist)?
PS: Die Lücke war in 1.5.5: http://blog.s9y.org/archives/224-import ... eased.html
Edit: Das müsste heißen: "wurde mir 1.5.5 (gefixt)"!
PS: Die Lücke war in 1.5.5: http://blog.s9y.org/archives/224-import ... eased.html
Edit: Das müsste heißen: "wurde mir 1.5.5 (gefixt)"!
Re: Virus in S9y ?
Danke für den Hinweis, Onli.
Ich erinnere mich jetzt wieder, dass ich schon einmal einen Virus oder einen Trojaner in eben den erwähnten Ordnern hatte. Hatte ich dann wie eben beschrieben einfach gelöscht. Weiß nicht, ob das im Dezember 2010 war wie bei den Leuten, die zu der von Dir verlinkten Meldung zum Patch kommentierten.
Ich wollte jetzt die Datei löschen, aber sie ist nicht sichtbar mit Filezilla. Wie kann das sein?
Die Backups, die nach dem Log des Antivierenprogramms infiziert sind, sind vom August und September 2012, also nicht die letzten Backups. Vermutlich liegt das an schärfere Einstellungen, die ich letzte Nacht für den Scan meines Desktops gewählt habe und mit denen diese Backups noch nicht gescannt worden waren, obwohl ich damals die betreffenden php-Dateien auf meinem Blog gelöscht hatte.
Ich bin auf dem aktuellen Stand mit s9y-Version und habe php-Version 5.4.4-9
In Seitenleisten-Plugins waren ab und zu Hiroglyphen angezeigt bzw. mal chinesisch od. japanisch. Vielleicht hatte das damit zu tun. Ich habe das leider nicht hier gemeldet, vielleicht betraf das ein bestimmtes Seitenleisten-Element.
Ich glaube, dass, wenn so ein entdecktes Auftreten von Viren jeder Blogbetreiber nicht nur als sein eigenes individuelles Problem betrachtet, wir durch eine "Meldestelle", die jeder hier in der Gemeinde kennt, einen Gewinn für die Gemeinde hätten. Wenn nicht durch die Blogsoftware selbst so kann Malware auch über iframes oder Plugins mit Inhalten von dritten Seiten auf das Blog kommen und so hätten wir eine Warnstation.
Für diese Kenntnis der Meldestelle würde ja schon die Sichtbarkeit in Form eines Forumordners wie so einer für Bugs sorgen. Das ist wieder mein - schon mal im November ´12 geäußerter Vorschlag http://board.s9y.org/viewtopic.php?f=10 ... #p10432857 nach etwas mehr Struktur in diesem Forum als Knowledge Base, aber dieses Mal ohne notwendigen Beaufsichtigungs-Mehraufwand für die Entwickler.
Ich erinnere mich jetzt wieder, dass ich schon einmal einen Virus oder einen Trojaner in eben den erwähnten Ordnern hatte. Hatte ich dann wie eben beschrieben einfach gelöscht. Weiß nicht, ob das im Dezember 2010 war wie bei den Leuten, die zu der von Dir verlinkten Meldung zum Patch kommentierten.
Ich wollte jetzt die Datei löschen, aber sie ist nicht sichtbar mit Filezilla. Wie kann das sein?
Die Backups, die nach dem Log des Antivierenprogramms infiziert sind, sind vom August und September 2012, also nicht die letzten Backups. Vermutlich liegt das an schärfere Einstellungen, die ich letzte Nacht für den Scan meines Desktops gewählt habe und mit denen diese Backups noch nicht gescannt worden waren, obwohl ich damals die betreffenden php-Dateien auf meinem Blog gelöscht hatte.
Ich bin auf dem aktuellen Stand mit s9y-Version und habe php-Version 5.4.4-9
In Seitenleisten-Plugins waren ab und zu Hiroglyphen angezeigt bzw. mal chinesisch od. japanisch. Vielleicht hatte das damit zu tun. Ich habe das leider nicht hier gemeldet, vielleicht betraf das ein bestimmtes Seitenleisten-Element.
Ich glaube, dass, wenn so ein entdecktes Auftreten von Viren jeder Blogbetreiber nicht nur als sein eigenes individuelles Problem betrachtet, wir durch eine "Meldestelle", die jeder hier in der Gemeinde kennt, einen Gewinn für die Gemeinde hätten. Wenn nicht durch die Blogsoftware selbst so kann Malware auch über iframes oder Plugins mit Inhalten von dritten Seiten auf das Blog kommen und so hätten wir eine Warnstation.
Für diese Kenntnis der Meldestelle würde ja schon die Sichtbarkeit in Form eines Forumordners wie so einer für Bugs sorgen. Das ist wieder mein - schon mal im November ´12 geäußerter Vorschlag http://board.s9y.org/viewtopic.php?f=10 ... #p10432857 nach etwas mehr Struktur in diesem Forum als Knowledge Base, aber dieses Mal ohne notwendigen Beaufsichtigungs-Mehraufwand für die Entwickler.
Re: Virus in S9y ?
Es könnte eine versteckte Datei (mit einem führenden Punkt wie in .htaccess) sein und Du hast die Option, diese Dateien anzuzeigen, nicht aktiviert.Czorneboh wrote:Ich wollte jetzt die Datei löschen, aber sie ist nicht sichtbar mit Filezilla. Wie kann das sein?
Das dürfte wohl eher ein Problem mit dem Encoding des Blogs sein, also UTF-8-Zeichen, die in einem iso-8859-1(5)-Blog nicht angezeigt wrden können. Schwer zu sagen mit so einer vagen Beschreibung.Czorneboh wrote:In Seitenleisten-Plugins waren ab und zu Hiroglyphen angezeigt bzw. mal chinesisch od. japanisch.
YL
Re: Virus in S9y ?
Ich habe aktuell das gleiche Problem. Mein Server gibt zurück:
550 Virus Detected and Removed: HTML.Exploit.CVE_2013_0026
550 Virus Detected and Removed: HTML.Exploit.CVE_2013_0026
Mit S9Y erstellt:
Nichts mehr.
Nichts mehr.
Re: Virus in S9y ?
Ist das eine Frage?
Das ist eine Microsoft Virendefinition - relativ neu - die bestimmte html (js) Konstrukte als Viral für IE9 (soweit ich mich erinnere) deklariert. Diese fließt auch in andere Scanner ein. Wie gesagt muss man da sicher ein Auge drauf haben, aber tendenziell eher eine Falschmeldung.
Das ist eine Microsoft Virendefinition - relativ neu - die bestimmte html (js) Konstrukte als Viral für IE9 (soweit ich mich erinnere) deklariert. Diese fließt auch in andere Scanner ein. Wie gesagt muss man da sicher ein Auge drauf haben, aber tendenziell eher eine Falschmeldung.
Regards,
Ian
Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
Ian
Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian