Forum

[Livia]

Hallihallo,
ich bin mir nicht sicher, ob ich ins richtige Forum gepostet habe, aber irgendwie passte keins

Ich habe eine Webseite, die auf Redaxo 3.2 läuft.

Seit Kurzem berichten verschiedene IE PC Benutzer, dass sie diverse Virenmeldungen bekommen würden beim Aufrufen der Seite.

Auf Firefox oder Mac ist das nicht nach vollziehbar.

Da die Seite aber sonst auf Redaxo 3.2 super läuft und die neuen Funktionen aus den höheren Versionen eigentlich nicht benötigt werden, wollte ich bei der Version bleiben.

Gibt es irgendwelche Sicherheitslücken, die durch die neue Version behoben würden und ein Update nötig machen würden?

Ansonsten hoffe ich, dass neu Aufspielen das ganze behebt

Vielen Dank für Eure Hilfe und sorry, falls ich das falsche Forum erwischt habe

[medium]

Hallo,

gibts eine Möglichkeit herauszufinden, welcher Virus erkannt wurde?

Eine Vermutung von mir wäre ( da in letzter Zeit laut div. Medien sehr häufig aufgetreten) evtl das die Seite von dem 1px Iframe Angriff betroffen ist. Dabei werden bestimmten Dateien (meist index.php main.php o.ä.) i.d.R per FTP Iframes angehängt mit 1 x 1 Pixel über den anschliessend Schadcode nachgeladen wird. Schau doch einfach mal in den Quelltext deiner Seite ob du einen Iframe findest, der da nicht hingehört und falls nicht versuch doch mal herauszufinden welcher Virus genau erkannt wird.

Grüße
medium

[Livia]

Vielen Dank für die Info.

Ich habe mir die Index.php und auch alle htaccess Dateien angesehen und die sind unverändert....

Wo könnte denn sowas sonst noch stecken?

Das seltsame ist, dass scheinbar viele IE Nutzer unterschiedliche Meldungen bekommen. Z.T. werden von bis zu 8 Viren berichtet.....

[Markus.Staab]

Hi Livia,

wenn du die neuste 3.2.x verwendest dann sollte das Passen.
Es sind soweit keine Probleme bekannt bzw. wurden keine in den neuen Versionen gestopft.

Gruß,
Markus

[medium]

Mh, ohne weitere Hinweise ist es ziemlich schwierig da was dazu zu sagen und ist dann eigentlich nur blindes rumraten, das mit den Iframes war nur aus meiner eigenen Erfahrung in letzter Zeit der häufigste Grund für solche Meldungen. Das es am Redaxo selbst liegt kann ich mir nicht vorstellen. Wie gesagt am besten mal den, oder auch die mehreren Namen der Virenfunde rausfinden, vielleicht weiss dann ja jemand wo das herkommen könnte.

Achja eine Idee noch: vielleicht irgendwelche fremden Werbeeinblendungen auf der Seite?

Grüße
medium

[Ruediger.Nitzsche]

Die iFrame-Geschichten erfolgen nicht über FTP, sondern über unsichere PHP-Konfigurationen + falsch gesetzte Zugriffsrechte (reg_globals off und allow_url_fopen off sollten nach Möglichkeit gesetzt sein)

Rüdiger

[Livia]

@Markus.Staab: Super - vielen Dank für die Info

@medium: An Dich ein super riesen-mega-Dankeschöööön! Du hast mir mit dem Tip wegen dem iFrame insofern geholfen, dass ich damit über Umwege auf diese Seite kam:

Spybye

Danach hab ich entdeckt, dass mein js Ordner ein seltsames Änderungsdatum hatte und als ich mir jedes File darin nochmal genau angeschaut habe, bin in prompt auf ein Segment gestossen, welches in dem Artikel oben beschrieben wird.

Dieses ruft scheinbar nach dem Zufallsprinzip Webseiten auf, die mitgeladen werden und dann bei jedem User andere Fehlermeldungen verursachen, da ja immer eine neue Seite lädt....

Ich hoffe jetzt nur, dass es das war mit meinem Problem

Ein ganz riesiges Dankeschön auf jeden Fall

[Livia]

...unsichere PHP-Konfigurationen + falsch gesetzte Zugriffsrechte (reg_globals off und allow_url_fopen off sollten nach Möglichkeit gesetzt sein)...

Danke auch für diese Info

allow_url_fopen ist ON
und register_globals ist OFF

Aber sehe ich das richtig, dass das Sache vom Hoster ist?
Da müsste dann Strato was ändern, oder?

[medium]

@Livia: Ok, freut mich wenn ich helfen konnte.
Evtl aber mal nachvollziehen woher diese Änderungen kamen, nicht das es gleich wieder passiert.

@Ruediger.Nitzsche: Stimmt, das ist natürlich auch ein Weg und mit reg_globals und allow_url_fopen kann ich dir nur zustimmen.
Ich hatte bisher im direkten Bekanntenkreis zwei betroffene Websites, bei denen die Änderungen über FTP kamen, daher dachte ich das dies meistens so ist.

[Livia]

@Livia: Ok, freut mich wenn ich helfen konnte.
Evtl aber mal nachvollziehen woher diese Änderungen kamen, nicht das es gleich wieder passiert.

Klaro! Das auf jeden Fall - werde auch mal den Provider anrufen deswegen und hören, was die noch so sagen

[Ruediger.Nitzsche]

Aber sehe ich das richtig, dass das Sache vom Hoster ist?
Da müsste dann Strato was ändern, oder?

Ja das ist Hostersache, andere Frage, liegt in Deinem include-Verzeichnis eine htaccess? Wenn nein, dürfte darin die Ursache liegen.

Rüdiger

[Livia]

Danke auch für diesen Hinweis.

In meinem include Verzeichnis liegt eine htaccess und die sieht auch ok aus.
(Das war das erste, was ich gecheckt habe, da ich davon auf der Redaxo-Seite schon gelesen hatte )

Strato behauptet, da hätte jemand sich über FTP Zugang verschafft und die Datei geändert.

Wie auch immer

Wir haben jetzt alle PWs geändert und auch eine Software aktiviert, die alle Dateiveränderungen logt und per mail einen Bericht darüber an mich sendet.
Wenn also eine Datei geändert wird, erfahr ich es wenigsten sofort

Hoffen wir, dass es das erstmal war

[medium]

Hierzu noch einen Hinweis:
Wie oben schon geschrieben, wurden die Änderungen in den mir bekannten Fällen auch per FTP durchgeführt und auch nach Änderung der Passwörter war die Seite nach kurzer Zeit wieder befallen. Es hat sich dann rausgestellt das ein PC von einem Trojaner befallen war und dadurch vermutlich die Passwörter mitgeloggt wurden.

[Livia]

Vielen Dank auch für diesen Tipp.
Ich hab ihn gleich weitergegeben