Web - Sicherheit - Virus gefunden "php_worm_2.UNOFFICIAL"

Keek

Keek

Aktives Mitglied
Thread Starter
Dabei seit
01.07.2010
Beiträge
2.862
Reaktionspunkte
1.389
Hallo zusammen,

mein Hoster (all-inkl.com) hat mir gerade in einer netten Mail mitgeteilt, dass Vieren (die hier: 4444!) gefunden worden sind.
Bei einem routinemäßigen Virenscan wurden in Ihrem Account abc* (abc.de) Dateien mit Schadcode gefunden. Um die Besucher Ihrer Webseite zu schützen, haben wir diese Dateien nach Möglichkeit umbenannt und gesperrt. Die Liste der Dateien finden Sie in Ihrem FTP-Account unter: /www/htdocs/abc/logs/viren_log_2016_02_18.html
Zum Vergrößern anklicken....

Die Log-File sagt folgendes aus:
Code: 
16:32:33 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-19.gz (chown: abc.abc | last change: 2015-12-20 01:35:25.294511446 +0100 | last mod.: 2015-12-20 01:14:37.642240282 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-19.gz (chmod: 200)

16:32:33 php_worm_2.UNOFFICIAL gefunden in /www/abc/abc/logs/access_log_2015-12-21.gz (chown: htdocs.abc | last change: 2015-12-22 01:08:05.337387797 +0100 | last mod.: 2015-12-22 00:47:00.057213635 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-21.gz (chmod: 200)

16:32:34 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-16.gz (chown: abc.abc | last change: 2015-12-17 00:45:00.446678172 +0100 | last mod.: 2015-12-17 00:21:52.455331660 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-16.gz (chmod: 200)

16:32:34 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-15.gz (chown: abc.abc | last change: 2015-12-16 01:33:23.015038498 +0100 | last mod.: 2015-12-16 01:09:24.775854321 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-15.gz (chmod: 200)

16:32:34 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-17.gz (chown: abc.abc | last change: 2015-12-18 00:56:40.044905099 +0100 | last mod.: 2015-12-18 00:31:41.770268314 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-17.gz (chmod: 200)

16:32:34 php_worm_2.UNOFFICIAL gefunden in /www/htdocs/abc/logs/access_log_2015-12-20.gz (chown: abc.abc | last change: 2015-12-21 00:38:44.948225215 +0100 | last mod.: 2015-12-21 00:16:30.492509352 +0100 | chmod: 644) umbenannt in: /www/htdocs/abc/logs/VIRUS_php_worm_2.UNOFFICIAL_access_log_2015-12-20.gz (chmod: 200)

Ergibt es Sinn, dass scheinbar ein "php Wurm" in einem Ordner für Logfiles gefunden wurde indem lediglich Archive (.gz) liegen? Entpacke ich (lokal, nicht online) ein "nicht infiziertes" Archiv liegt ja auch lediglich ne Textdatei (ohne Dateiendung) drin.

Soll ich mal in eine der "infizierten" Logfiles schauen?

Darüber hinaus stelle ich soeben fest, dass das ja schon recht alte Logfiles sind :D

Danke und Gruß
Keek

*Den Accountnamen überall in abc umbenannt.
 
Können schon false positives sein. Guck rein, dann weißt dus. Wenns wirklich ein php Wurm sein soll, kannst du die ja ohne Probleme entpacken. Machs auf dem Server, falls du einen ssh zugang hast, der wäre ja eh schon infiziert wenn du keine vm hast ;)

php_worm_2(.UNOFFICIAL) finde ich auch nichts zu, deshalb tippe ich auf false positives.
 
  • Gefällt mir
Reaktionen: Keek
Jupp. In einem der "infizierten" Archive befindet sich auch nur die Logfile.

Code: 
207.46.13.64 - - [21/Dec/2015:00:09:38 +0100] "GET /abc/abc HTTP/1.1" 200 8379 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
usw. usw.
 
Vielleicht nicht jede eMail glauben:Oldno: !!!
Ich bekam auch mal eine, vom System Administrator (hat sogar fast die Absendeadresse gepasst ) der mich aufgefordert hat sofort mein Postfach zu überprüfen auf Viren da sie derzeit
mehrere Fälle haben die Infiziert sind, Link hier unten weiter nach Bildschirmangaben ..............:nono:
und was war es ... eine richtig gute eMail aber SPAM sonst nix
Also bitte nicht alles glauben und folge keinen Link oder Zip die wollen nur Spielen mit Dir :Party:
 
War kein Link drin*, Accountname, domain und mein Nachname stimmt auch ;) Und die entsprechenden Logfiles finde ich ja auch über FTP auf dem Server ;)

Aber grundsätzlich hast du natürlich recht. Das war auch mein erster Gedanke als ich den Betreff / die Mail las.

Ich werde denen Tage vielleicht mal ne Mail schreiben und nachhaken.

Gruß
Keek
(*außer die eigene Domain und Domain vom Hoster)
 
  • Gefällt mir
Reaktionen: IronM
Keek schrieb:
Ich werde denen Tage vielleicht mal ne Mail schreiben und nachhaken.
Zum Vergrößern anklicken....
Auf jeden Fall bei all-inkl.com dieses als "false positive" melden, denn anscheinend macht da die Software etwas vermutlich irrtümliches.
Und bevor die Server-Firewall selbst auch noch als "false positive" deklariert wird… :)
 
Ich habe von meinem Kunden heute morgen ebenso eine solche Mail erhalten. Die Dateien wurden nach dem Download von mir in einer "separierten Zone" entpackt und geprüft. Dabei habe ich mit drei verschiedenen Scannern nichts entdeckt. Anschließend habe ich über Virustotal die Files hochgeladen. Gleichnamige Dateien wurden bereits seit 2006 gescannt und zuletzt vor drei Minuten. Die Datei konnte jedoch nicht gescannt werden, da es sich um eine "0-Byte" datei handelte. In allen Suchergebnissen für Dateinamen dieser Bezeichnungen wurden 0/55 Ergebnisse von Viren geliefert. Auch lokal kann ich die gz-Datei nicht entpacken.

Viel interessanter finde ich allerdings, dass es sich im Datum um die selben Files wie bei mir handelt, lieber Threatstarter. Speziell die vom 17. bis 20.12.2015 wurden auch hier gefunden und umbenannt.
Ich sende es mal an den Business-Support, mal sehen, was die antworten. Ich gebe Feedback.
 
Hallo xKon,

das ist ja interessant. Ich bin gespannt auf dein Feedback. Ich nehme an bei dir geht es auch um all-inkl?
Komisch, dass die Archive bei dir leer sind. Die Logs (also die Problemdateien) werden ja automatisch vom Hoster erstellt. Loggst du dich auf kasserver.com ein kannst du die Einstellungen für die Logs ja unter "Einstellungen > Accesslogs" vornehmen.

Ich schreibe die nun auch mal an,

Grüße
 
Wie immer super zuverlässig die Jungs dort!
Hallo Herr - xD -,
wir werden die reinen accesslogs von den zukünftigen Scans ausnehmen.
Allerdings ist der Fund trotzdem zumindest ein Grund die eigenen Dateien auf Originalität und mögliche Manipulationen zu untersuchen. Der Fund sagt aus, dass gewisser PHP-Schadcode direkt in der URL an Ihre Domain übergeben wurde und zumindest der Versuch einer Infektion stattgefunden hat.
Wenn Ihr CMS sicher ist, dann wird solch ein Versuch fehlschlagen. Wenn Ihr CMS diese Art Angriff nicht verhindert, dann hat eventuell eine Manipulation stattgefunden.
Zusatz: PHP-Schadcode, ob als Datei oder direkt in der URL, ist kein klassischer Virus. Viele Scanner finden solche Sachen nicht, es ist daher nicht verwunderlich wenn die Forenteilnehmer mit anderen Scannern nichts finden. Wir stellen selbst angepasste Signaturen her, daher auch die Meldung des Virenscanners "UNOFFICIAL".
Zum Vergrößern anklicken....

Liebe Grüße
xKon
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten