Virus durch 4Images eingeschläust

[Fireball22]

Hallo,

leider habe ich da ein ziemlich großes Problem.
Da hat doch tatsächlich jemand versucht zwei Dateien auf meinem Server zu schmuggeln.

Diese lagen in dem Ordner /4images/templates/DATEI.php
Einmal mit dem Dateinamen ww.php und version.php.

Ich hoffe ihr könnt mir sagen wie sowas passieren kann und evtl. einen Security Fix rausbringen.

Ich habe die zwei Datein hier mal als Attachement reingezogen.
BITTE DIE DATEIEN NICHT AUF EUREM SERVER AUSPROBIEREN, ICH HABE KEINE AHNUNG WAS DIESE ANRICHTEN!!

Fireball22

ANMERKUNG von ACIDGOD:
Habe den Virus entfernt

[honda2000]

dies ist zwar kein Virus, sondern ein Trojaner, aber ist auch nicht gerade das Gelbe vom Ei

hat aber wenig mit 4images, als mehr mit einem Kontaktformular bzw. der Sicherheit deines Servers allgemein zu tun!!!

Bitte lösch deinen dateianhang, der die Scanner schlagen (wenn installiert) sofort Alarm

wenn also paar "arme Schweine" deinen Anhang mal sehen wollen, haben sie sofort deinen Trojaner auf dem Rechner!!!

[Fireball22]

Das kann einfach nicht sein!
Kaum habe ich auf die Version 1.7.4 upgedatet habe ich schon wieder die ww.php auf meinem Server!

Ich habe vorher alle Daten wiederhergestellt und ein Sicherheitsberater herbeigezogen, der meinen Server auf die Sicherheit geprüft hat!

Das Leck muss in der Version 1.7.4 auch vorhanden sein!!

Was kann ich machen außer CHMOD 000 auf den kompletten Ordner?

Fireball22

[Acidgod]

schütze den admin folder mit .htaccess...

[Fireball22]

Aber dann würde dass doch nur den Zugriff auf das Admin-Portal verhindern, aber doch nicht auf den Template-Ordner, oder?

Fireball22

[Acidgod]

Ich sollte so früh morgen keine Beiträge schreiben... *g*

Hast Du denn schon raus gefunden wie die Files eingeschleust werden?

[Fireball22]

Hehe, das geht mir meistens genauso 

Also direkt kann ich leider nicht sagen wie diese auf den Server kamen.
Das einzige was ich sagen kann, ist dass eben dieser Ordner einen CHMOD von 777 hatte, wie eben für 4Images benötigt.
Und Eigentümer dieser beiden Dateien war wwwserv und Gruppe www, was warscheinlich so viel heißt, dass diese über das ganz normal über einen Aufruf einer PHP-Seite welche durch den Apache verarbeitet wurde, rein kam.
Über FTP wäre der Benutzer dann nämlich ein anderer Name.

Fireball22

[Acidgod]

Ändere doch die CHMOD Rechte...
Man brauche diese ja eigentlich nur um die Templates im Backend bearbeiten zu können...

[honda2000]

bei welchem Hoster bist du denn??

Schau doch mal deine Logfiles nach, dort findest du sicher was!

DENN: es war ja KEIN Virus, sondern ein Trojaner

Trojaner überwachen ja mehr.

Kann also schon sein, das sich ein änliches Teil auf deinem Rechner befindet.

Immer wenn du dein FTP öffnest oder dich per Admin an der Galerie anmeldest und Bilder per Upload-Modus lädst....
...das wäre ja ein Trojaner (der macht an sich nix kaputt, sondern überwacht und stratet dann irgendeinen Befehl oder ein Script)

...und genau das muss nicht bei dir liegen, sondern bei dem, der das Ganze programmiert oder gestartet hat

[Fireball22]

@Acidgod
Ja genau das gleiche ist mir dann auch aufgefallen, warum der Template-Ordner so hohe Rechte benötigt.
Diese habe ich dann gleich runtergeschraubt, da ich meine Templates sowieso nur lokal bearbeite und dann über FTP hochlade.

@honda2000
Ich habe einen eigenen V-Server, der bei Strato Berlin steht.
In den Log-Files habe ich bereits nachgesehen, da lässt sich aber leider nichts finden.

Stimmt, dass so ein Schädling auf meinem Rechner sein könnte habe ich mir auch schon gedacht und habe dann auch gleich nochmal alle Viren-Scanner auf meinem Rechner durchlaufen lassen.

Also ich befürchte schon fast dass es an 4Images liegt, oder?

Fireball22

[honda2000]

ich habe 4images nicht programmiert, mein Verstand sagt mir folgendes:

Unterschiede von 1.7.2 zu 1.7.3 sind gravierend

von 1.7.3 zu 1.7.4 sind nur ein paar Bugfixes und Sicherheitslücken  geschlossen und ein paar Kleinigkeiten geändert worden

du hast von 1.7. irgendwas auf 1.7.4 upgedatet

daraus folgt für mich als logische Konsequenz:

von 1.0.0 bis 1.7.3 muss alles "shit" gewesen sein und alle Server müssen mit Viren und Trojanern überseht sein, denn von da an wurde zu 1.7.4 nichts, aber auch gar nichts am Admin-Bereich geändert!

daraus nun wieder folgt: an 4images kanns nicht liegen


trozdem wäre es schön, herauszufinden wie / von wem / und was geanu auf deinen Server gelangt ist!

[Fireball22]

Vorcher hatte ich ja die Version 1.7.2 auf dem Server.
Nachdem ich dann diese Trojaner in dem Ordner fand stellte ich erstmal alle Backups wiederher um evtl. Code-Ablagerungen im System nicht mit zu nehmen.
Danach installierte ich gleich wieder die Version 1.7.4.

Und siehe da, einige Stunden später war auch schon wieder ein Trojaner drauf.

Gebe ich aber jetzt dem Template-Verzeichniss nur noch geringere Rechte, so kommt da überhaupt nichts mehr drauf.

Also würde ich fast sagen, dass es doch an 4Images liegt 
Es muss ja nicht so ein deutlicher oder bekannter Bug sein, es reicht ja wenn es einer weißt und damit viel Schaden anrichten kann.

Womöglich sind davon auch mehrere Gallerien betroffen, nur viel merken es nicht, so wie bei mir am Anfang!
Bei mir lagen die zwei Dateien ww.php und versions.php ca. 10 Tage lang umbemerkt auf meinem Server, weil ich ja nicht jeden Tag in den Template-Ordner schaue.
Bemerkt habe ich das ganze nur, als ich ein Server-Backup auf meinen Rechner heruntergeladen habe und am nächsten Tag AntiVir meinen Rechner inkl. dem Backup durchsucht hat.

Fireball22

[Nicky]

@Fireball,

Vorcher hatte ich ja die Version 1.7.2 auf dem Server.
Nachdem ich dann diese Trojaner in dem Ordner fand stellte ich erstmal alle Backups wiederher um evtl. Code-Ablagerungen im System nicht mit zu nehmen.
Danach installierte ich gleich wieder die Version 1.7.4.

Und siehe da, einige Stunden später war auch schon wieder ein Trojaner drauf.

Gebe ich aber jetzt dem Template-Verzeichniss nur noch geringere Rechte, so kommt da überhaupt nichts mehr drauf.

Also würde ich fast sagen, dass es doch an 4Images liegt 
................

denken/sagen tststs..

bringe die fakten.
ich hab dir schon angeboten die server Logs anzuschauen, aber neeee, ist dir zu riskant mit den daten rauszurücken.
was sagt dein "Sicherheitsexperte", ausser das er nur "denkt" das es 4images ist?

nichts für ungut..

LG

[Fireball22]

Das mit den Log-Files wäre kein Problem, diese kann ich hier posten...
Nur das mit FTP-Zugriff wäre mir ein bisschen zu kritisch gewesen.

Welche Log-Files benötigst du denn genau?

Fireball22