Hallo,

als ich heute morgen meine Seite aufraufen wollte, auf der ich das CMS Redaxo installiert habe, bekam ich einen PHP Error. Ein Blick in den Quelltext hat auch schnell offenbart, warum: In der letzten Zeile der redaxo index.php war ein Inline Javascript eingefügt, was innerhalb von <?php ?> natürlich nicht funktionieren kann.

Soweit so gut, fragt sich nur, woher der kryptische Javascript kommt! (Kann den Quelltext bei Bedarf gerne mal posten ) Am Tag davor hat die Seite noch funktioniert und der Skript war noch nicht vorhanden. Hab die Datei mal bei VirusTotal checken lassen und auch promt was gefunden. Habe mal ein bisschen bei Google gesucht, aber viel lässt sich dazu nicht finden. Der Trojaner ist in der Avastdatenbank auch erst seit gestern und in der Sophosdatenbank sogar erst seit heute.

Als nächstes habe ich mal das Änderungsdatum der infizierten Dateien angeschaut (index.php im obersten Verzeichnis und index.php in /redaxo/, möglicherweise noch andere). Die letzten Änderungen waren gestern um 22:18:02 bzw. um 22:26:24. Zu dieser Zeit war mein Rechner definitiv ausgeschaltet und er wurde auch erst heute morgen wieder eingeschaltet. Anschließend habe ich mein FTP Log auf dem Server gecheckt (1und1), da waren die letzte Einträge von gestern um ca. 18 Uhr. Über FTP kann der Trojaner also nicht eingeschleust worden sein. Habe noch die CHMOD der entsprechenden Dateien gecheckt, die stehen auf 644.

Wichtig zu wissen ist auch, dass ich kurz vor Weihnachten bereits ein ähnliches Problem hatte, damals hat NOD32 den Trojaner "JS/TrojanDownloader.Agent.NRL" erkannt, der bei Avast wohl "JS:Illredir-C" heißt - bis auf den letzten Buchstaben also der gleiche Name wie bei meinem jetzigen "Problem".

Damals wie heute habe ich Redaxo zu Testzwecken in einem Unterverzeichnis auf dem Server installiert. Interessanterweise sind die restlichen Dateien auf dem Server absolut "clean", da lässt sich kein Schadcode finden. Da scheint es natürlich nicht unwahrscheinlich, dass das ganze irgend etwas mit Redaxo zu tun hat.

Als ich das Problem zum ersten Mal hatte, habe ich das Verzeichnis schlichtweg gelöscht und gehofft, dass das Problem damit gelöst ist (schließlich waren alle anderen Datein auf dem Server wie gesagt ja sauber). Ich habe also keine Passwörter oder dergleichen geändert.

Wie ich herausgefunden habe, öffnet der Trojaner übriegens verschiedene Dateien auf folgendem Server: h**p://aebn-net.adobe.com.sfgate-com.jerseyhomesite.ru:8080/... Ich denke der interessante Teil der URL ist jerseyhomesite.ru:8080, bei Google habe ich aber nur wenig dazu gefunden.

Hat einer von euch eine Idee, wo der Trojaner herkommen könnte/wie er auf den Server kommen konnte? Was sind weitere Möglichkeiten, Nachforschungen anzustellen?

Hoffe sehr, ihr könnt mir irgendwie weiterhelfen! Danke schon einmal vorab!

Gruß
SmolkaJ

Erste Rückfrage: Welche Redaxo-Version? Es ist ein Webserver, und das ist das Einfallstor für Schädlinge (auf Systemebene passiert eher weniger, die sind zumeist gut abgeschottet, höchstens über FTP und SSH erreichbar). Du solltest alle Hinweise und Patches des Herstellers abarbeiten. Hast Du weitere Web-Administrationstools (phpAdmin etc.) öffentlich verfügbar? Für die gilt das gleiche. Wer schon mal durch Server-Logs geguckt hat kennt die Unmengen von blind losgefeuerten URLs, die auf Lücken solcher Tools zielen, selbst wenn die URL nach außen nicht publik gemacht ist.

Grüße,
Thorsten

Ok, hab jetzt doch den Server Log gefunden, auch da ist nichts auffälliges drinnen.

Wenn weder im FTP-Log noch im Server-Log was zu finden ist, wie können die Dateien denn dann manipuliert worden sein? Das bedeutet doch, dass der Trojaner schon vorher auf dem Server war, oder nicht?

-----Doppelpost zusammengeführt am 24.2.2010 um 22:47:44-----

Acho so, ich verwende die neuste Redaxo Version, 4.2.1. phpmyAdmin habe ich nicht installiert, aber ist bei 1und1 standardmäßig dabei. Ansonsten habe ich noch mySqlDumpster auf dem Server, wobei das nicht der Fall war, als das ähnliche Problem vor Weihnachten aufgetreten ist.

Was mir gerade noch einfällt, meine Seite ist auf dem YAML Framework aufgebaut. Aber ich denke das sollte nicht relevant sein...

Natürlich kann ich Dir nicht letztendlich verraten, wie das Problem entstanden ist, und ehrlich gesagt ist das auch nur bedingt von Belang. Man kann daran vielleicht bewerten, was man von seiner verwendeten Technik hält, ob man die mittelfristig ersetzt, kurzfristig ist erst einmal nur wichtig, sowohl das Problem zu beheben (z.B. mal hier lesen) als auch die Hürde für zukünftige Infizierung so hoch wie eben möglich zu legen.

Zur Infektion ist es nötig, dass man schreibend auf Dateien zugreifen kann. Da ist natürlich ein CMS prädestiniert, weil es genau dafür da ist (neben Inhalten in der Datenbank sind ja normalerweise stets Uploads z.B. von Bildern möglich). Aber solche Einfalltore könntest Du Dir auch in Deine Website selbst eingebaut haben (eigener Upload z.B.). Während YAML, wie Du schon vermutest tatsächlich eher unverdächtig ist. Dann schon eher grundlegende Technik wie PHP selbst. Womit wir beim Provider wären.

Bei jedem System im Internet ist es natürlich dennoch möglich, dass auch das System Einfallstor war (natürlich gerade bei "Shared Servern" bei den großen Providern wie 1&1, weil wenn dort eine Lücke verfügbar ist, dann ist die Ausnutzung natürlich besonders attraktiv und effektiv). Aber bei "Shared" ist Dein Einfluss diesbezüglich ziemlich begrenzt, für Sicherheit auf dieser Ebene st der Provider verantwortlich. Hast Du bei 1&1 mal nachgefragt, ob diese Probleme bekannt sind? Ist das Passwort ausreichend kompliziert? Am besten auch soweit möglich ändern.

Mehr kann ich nicht sagen, bin ja nur zum Raten verdammt.

Außerdem stelle ich natürlich gerade fest, dass Du ja in Dutzenden anderen Foren gefragt hast, da reagiere ich zumeist etwas verstimmt und stelle meine Bemühungen ein. Ist das hier "Stiftung Forentest"? Werden wir gegeneinander ausgespielt? Kann man das nicht dazu sagen?

Ciao,
Thorsten

Hallo Thorsten,

Bei 1und1 habe ich mich noch nicht gemeldet, aber das sollte ich wahrscheinlich zumindest mal versuchen.

Hälst du es für möglich, dass der Trojaner oder welche Schadsoftware auch immer die Server/FTP Log Datei manipuliert hat? Das ist für mich nämlich das mysteriöse an der ganzen Sache, da müsste man doch was finden!

Der andere mysteriöse Punkt ist, dass nur das Verzeichnis /v2 auf dem Server betroffen ist - alles andere ist sauber. Also ausgerechnet das Verzeichnis, in dem ich am Arbeiten bin und in dem ich Redaxo installiert habe.

Von "Stiftung Forentest" bin ich bestimmt nicht. Ich weiß nicht genau, was dich daran stört, dass ich mein Problem in verschiedenen Foren geschildert habe, aber böse gemeint war es garantiert nicht. Habe einfach gedacht, dass ich so die besten Chancen habe, herauszufinden, was es mit dem Trojaner auf sich hat. "JS:Illredir-W" ist bei Avast seit dem 23.02 in der Signatur (in der Nacht habe ich ihn mir eingefangen), bei allen anderen Virenscannern sogar erst später hinzugekommen bzw. immer noch nicht drinnen. Dementsprechend wenig erfährt man darüber im Internet und dementsprechend gering sind meine Chancen, dass man mir weiterhelfen kann. Aus der kleinen Chance, die ich habe, versuche ich alles herauszuholen, ich denke das ist verständlich.

Hoffe also sehr du stellst deine Bemühungen nicht ein, ich bin über jedes bisschen Hilfe, dass ich bekommen kann, sehr dankbar!

Was mich daran stört? Ich gebe mir Mühe. So wie die Mitstreiter in den anderen Foren auch. Das ist schon Arbeit und Zeitaufwand. Macht man im Prinzip gerne, aber so ein Forum soll auch auf Gegenseitigkeit funktionieren, das ist kein Selbstzweck nur zur Langweile-Bekämpfung. Du gehst auch nicht zu sechs verschiedenen Handwerkern, gibst bei jedem die gleiche Arbeit in Auftrag, guckst alle Nase lang vorbei, ob es auch wirklich hübsch wird und am Ende holst Du es nur bei einem ab, bezahlst es nur bei einem und bist bei den anderen nicht wieder gesehen. Die Arbeit wird x-fach in jedem Forum wieder gemacht und profitieren tun kein Forum von den jeweiligen Antworten in den anderen. Dafür sind Foren auch, das hinterher weitere Leute von Antworten profitieren können.

Ansonsten weiß ich sowieso nicht, wo das jetzt hinführen soll? Ist der Wurm gefixt? Du weißt exakt, wann Du befallen wurdest? Was für ein "v2"-Verzeichnis auf dem Server? Ich weiß so ungefähr komplett gar nichts über Deinen Server, dessen Struktur, dessen Inhalte und dessen mögliche Probleme. Hellsehen ist nicht so meine Stärke. Wende Dich zuerst an 1&1...