Wichtige Information zur Viruswarnung auf Net-News-Express.de
In den vergangenen Tagen bekam ich einige Hinweise von Nutzern des Kapsersky Antivirus, dass auf Net-News-Express Schadcode enthalten sei. Mehrfach war ich auch der Meinung, das Problem gefunden zu haben, jedoch war es immer nur eine Folge und nicht die Quelle. Gestern gelang es dank Mario, den Code ausfindig zu machen. Dieser war sehr clever als Google-Analytics getarnt und sogar kommentiert und durch das „Base64_Decode“ konnte er nur von Scannern erkannt werden, wenn der Code im Browser ausgeführt wurde.
Fast alle Virenscanner, die auf einem aktuellen Stand sind, finden via „Echtzeiterkennung“ im Speicher mittlerweile solchen Schadcode. Auf meinem lokalen Rechner habe ich nichts entdecken können, aber man sollte sicherheitshalber einen kompletten Scan machen. Besonders für Webseitenbetreiber hier kurz ein Hinweis, wie man den Fiesling findet. Die Quelle war bei uns die Index.php.
Ein gesamtes Backup der Webseite herunterladen und zum Beispiel mit dem Kostenlosen Tool Notepad ++ in den Dateien suchen. Suchparameter ist:
$stCurlLink = base64_decode
Das ist ein sehr geschickter Trojaner, der besonders WordPress-Seiten befallen hat wie NNE, aber beweist eben nicht nur diese. Wer diese Parameter findet, sollte sich nicht täuschen lassen, der Code suggeriert auf den ersten Blick gut kommentiert, er wäre Google-Analytics. Wie ich bei der Recherche im Netz herausgefunden habe, ist er offensichtlich auch in der Lage FTP-Programme wie zum Beispiel Filezilla zu entern und dann mittels der Passwörter andere Seiten zu infizieren. Findet man den Code also auf den eigenen Webseiten, ist eine gründliche Kontrolle des eigenen Rechners notwendig und danach der Tausch aller Passwörter zu empfehlen.
Natürlich wäre es jetzt schöner, das Thema tot zu schweigen, aber im Interesse aller Leser und auch anderer Webseitenbetreiber halte ich es für wichtig, darüber aufzuklären. Wer mit aktuellem Browser und Virenscanner unterwegs war, hat eigentlich nichts zu befürchten. Der Rest sollte wie oben erwähnt das System einmal einem Komplettcheck unterziehen.
Vielen Dank an die Leser, die mich darauf aufmerksam gemacht haben und Entschuldigung für die Umstände.
Carpe diem
3 Responses to Wichtige Information zur Viruswarnung auf Net-News-Express.de
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.
Verständnisfrage:
Sollte der Schadcode in die index.php oder eben eine andere Datei auf dem Webserver eingeschleust worden sein, so hiesse das, daß hier „Schreibrechte“ in die Datei vorgelegen haben und die genutzt wurden vom Schadcode.
Das hiesse aber auch im Umkehrschluss, daß die betroffene Datei dann ein recht aktuelles „Erstellungs-/File-Datum“ per Ftp anzeigt. Richtig?
Auch dieses „neuere“ Datum sollte dann ein wichtiger Hinweis auf eine mögliche Manipulation sein. Gerade eine index.php wird ja seltenst geändert…
Sind meine Gedanken korrekt? Oder ist da Denkfehler drin?
crazy
ist soweit korrekt, allerdings hat der Code andere Dateien verändert wo dann auch schadcode gefunden wurde und damit sozusagen einen Knochen ausgelegt. Man war ja dann der Meinung den Übeltäter gefunden zu haben und bei einem lokalen Check hat man nichts gefunden in den Dateien.
Und wenn Du jetzt noch erkennst, dass selbst Google Analytics alles andere als „gut“ ist, dann würden sich „böse“ Trojaner (oder wenn Du magst:: Viren) erst gar nicht als gute tarnen können. Ich blocke jedenfalls GA, da ich nicht auf Tracking stehe, ganz egal was die besuchte Website damit anstellen oder nicht anstellen mag.