Malware Problem
Eingetragen von Tanzzwerg (50)am 26.10.2018 - 11:24 Uhr in
Hallo!
Ich habe ein Malware Problem mit meinen 2 Drupal Seiten https://sieklas.com und https://physiotherapie-lichtenberg.at.
Die Websites werden immer wieder abwechselnd von meinem Webhoster Hosttech geflagged mit der Mitteilung es befinden sich infizierte Dateien auf meinem Webspace. Daraufhin werden alle Websites offline genommen bis das Problem behoben ist. Davon sind dann noch weitere statische Websites betroffen die nicht mir Drupal erstellt wurden.
Meiner Vermutung nach kann da jemand bei beiden Websites durch die gleiche Sicherheitslücke Malware plazieren. Habe schon alle Möglichen Passwörter geändert und Updates durchgeführt. Passiert immer wieder, ca. 1-2x im Monat.
Die Dateien haben wirre Namen und Inhalt und sehen so aus:
Infizierte Dateien:
'PHP/WebShell-W' in /var/www/.../includes/database/sqlite/yocomhvl.php
'PHP/WebShell-W' in /var/www/.../modules/translation/tests/ixakhmqj.php
Habe zwei Screenshots angehängt wie diese aussehen, wenn man diese öffnet. Falls jemand sich eine der Dateien näher ansehen möchte: https://we.tl/t-RllVYBk46J
Was kann ich noch versuchen? Vergleichen welche externen Module beide gleich haben und überflüssige, nicht verwendete Module deinstallieren/ deaktivieren?
Habe gerade nochmal Updates durchgeführt und da kam die Fehlermeldung "The following module is missing from the file system: hacked ..." Hat das vielleicht was damit zu tun?Screenshot der Fehlermeldung im Anhang.
| Anhang | Größe |
|---|---|
| Screen Shot 2018-10-23 at 11.16.41.png | 268.97 KB |
| Screen Shot 2018-10-23 at 11.15.28.png | 277.43 KB |
| Screen Shot 2018-10-26 at 11.02.29.png | 185.43 KB |
- Anmelden oder Registrieren um Kommentare zu schreiben
Vermutung
am 26.10.2018 - 11:54 Uhr
jemand hat sich Zugriff auf deinen lokalen Rechner verschafft, oder diesen per Keylogger ausgespäht, so dass er an die FTP oder gar Shell-Passwörter gelangt ist, so dass er direkt auf den Server zugreifen kann.
Wichtig wäre also, nicht Drupalpasswörter, sondern die Zugangspasswörter für FTP, Shell und WEB-Konsole ändern, und dies möglichst von einem anderen client aus.
Zusätzlich eine Bereinigung des lokalen Computers, mit dem du Webseiten pflegst.
Hacked ist ein Drupal Modul
am 26.10.2018 - 15:25 Uhr
Hacked ist ein Drupal Modul .
Es vergleicht sämtliche Module auf deiner Installation mit den Modulen, wie sie auf drupal.org vorliegen.
Wenn die Größe nicht exakt stimmt, wir das Module als hacked gekennzeichnet und dann musst du schauen, ob du da nicht vielleicht einen Patch installiert hast und die unterschiedliche Größe ganz OK ist.
Die System Fehlermeldung tritt immer dann auf, wenn ein Modul "nicht richtig entfernt" worden ist.
Wie man das heilt, findest du auf der angegebenen Seite .
Wenn das Problem ein oder zweimal im Monat auftritt, ist es bestimmt so, dass da ein Roboter ein PHP-Script ausführt, welches nicht zu Drupal gehört.
Ich würde alles durchsuchen, dann wirst du das Script bestimmt finden.
Gruß
Berthold Lausch
Wurden beide Webseiten immer
am 26.10.2018 - 16:20 Uhr
Wurden beide Webseiten immer rechtzeitig aktualisiert und die Sicherheitsupdates SA-CORE-2018-002 (am 28.3.2018) und SA-CORE-2018-004 (am 25.4.2018) unmittelbar installiert? Falls nicht sind die Seiten mit großer Wahrscheinlichkeit kompromittiert und Angreifer können nach beliebigen Schadcode nachladen.
Die wichtigste Frage. Existieren Backups vor dem 28.3.2018 und 25.4.2018?
Wie hier geschrieben empfehle ich erst einmal die Seite offline zu nehmen und genauer zu prüfen.
Auch wenn die Dateien nach
am 29.10.2018 - 06:59 Uhr
Auch wenn die Dateien nach einem Hacking upgedated wurden, so bleibt immer noch die Möglichkeit, dass es eine Backdoor in der der Datenbank gibt, durch die der Angreifer rein und raus gehen kann.
Seit wann gibt es das Problem?
Wurde zuerst gehackt und dann Update gemacht?
Dann sollte man unbedingt auf eine saubere Datenbank von VOR dem hacking zurück gehen - so wie howdytom eben auch schreibt.
gehackt
am 30.10.2018 - 23:47 Uhr
Ich hatte vor einiger Zeit jemanden der mich um Hilfe bat
Es waren diverse PHP-Dateien mit kryptischen PHP-Daten auf dem Server ähnlich deinen
z.B. btodsjmz.php aber auch viele index.php Dateien, die falschen Inhalt hatten meist mit eval(base64_decode....
Hier sind noch mehr ZEichen für verdächtige Inhalte aufgelistet
https://www.drupal.org/forum/support/post-installation/2018-04-27/my-site-hacked#comment-12592875
Letztendlich half nur neu aufsetzen aus einer sauberen Sicherung.
Sorry :-(
Vielen Dank für die
am 31.10.2018 - 16:44 Uhr
Vielen Dank für die zahlreichen Antworten, werde ich alles mal ausprobieren.
Passwörter habe ich alle sofort geändert. Grundsätzlich habe ich auch ältere Backups eingespielt, nehme an die waren auch schon kompromittiert. Bleibt mir nur noch über noch ältere einzuspielen, da wurde jedoch einiges verändert. Wollte bisher vermeiden die Inhalte dann alle wieder neu zu verändern/ zu erstellen.