Virusmeldung von 1und1

**skipper2** · 11.03.2014, 14:52

Hallo zusammen,

ich habe von unserem Webhoster 1und1 eine Mail bekommen, dass eine Systemdatei infiziert sei.

Sie erhalten heute eine dringende Nachricht zu Ihrem 1&1 Vertrag.
Vor wenigen Minuten meldete unser Anti-Viren-Scanner, dass eine schädliche
Datei auf Ihren 1&1 Webspace geladen wurde.

Name der Datei: ~/assets/js/27875299c587.js

Um Sie vor gefährlichen Hacker-Angriffen zu schützen, prüft der 1&1
Anti-Viren-Scanner jede Datei, die auf Ihren Webspace geladen oder verändert
wird. Zeigt eine Datei deutliche Muster eines Angriffs, wird sie automatisch
deaktiviert.

Ich verwende Conto Version 3.2.7.
Ich habe vorsichtshalber erst einmal alle Passwörter geändert, inkl. FTP Zugang.
Habe dann die betreffende Datei (scheint zu Mootools zu gehören) online scannen lassen, Ergebnis, keine Infektion.

Ich wäre über Informationen, Hinweise, Hilfe dazu dankbar.

Danke im voraus
Joachim

**ciaobello** · 11.03.2014, 15:03

Der Contao-Check erkennt wenn es eine Datei sein sollte die nicht mehr original Contao .. 3.2.7 ist.

Das wäre der erste Schritt.

**skipper2** · 13.03.2014, 09:58

Das Check-Tool sagt mir nur

PHP 5.4.26
You can install Contao 2.x
You can install Contao 3.x

Requirements
You can use the Extension Repository
You can use the Live Update
You do need the Safe Mode Hack

Wenn ich den Safe Mode Hack einrichte (localconfig.php)
$GLOBALS['TL_CONFIG']['useFTP'] = true;
$GLOBALS['TL_CONFIG']['ftpHost'] = 'www.meine-webseite.de';
$GLOBALS['TL_CONFIG']['ftpPath'] = '/';
$GLOBALS['TL_CONFIG']['ftpUser'] = 'nnn';
$GLOBALS['TL_CONFIG']['ftpPass'] = 'xxx';

erhalte ich beim nächsten check trotzdem die Meldung "You do need the Safe Mode Hack"

Mein aufgesetztes Contao-System arbeitet ansonsten zuverlässig.

Gruß Joachim

**MacKP** · 13.03.2014, 11:10

Du solltest prüfen, ob bei deiner Install irgendwelche Dateien geändert wurden. Im Contao-Check ist das eine bestehende Installation Prüfen.
Hier noch mal der passende Link zu so einem Problem: http://de.contaowiki.org/Contao_gehackt

Viele Grüße

**tab** · 13.03.2014, 11:51

Zitat von skipper2

Das Check-Tool sagt mir nur

PHP 5.4.26
You can install Contao 2.x
You can install Contao 3.x

Requirements
You can use the Extension Repository
You can use the Live Update
You do need the Safe Mode Hack

Soweit alles prima und völlig "normal" bei 1&1

Zitat von skipper2

Wenn ich den Safe Mode Hack einrichte (localconfig.php)
$GLOBALS['TL_CONFIG']['useFTP'] = true;
$GLOBALS['TL_CONFIG']['ftpHost'] = 'www.meine-webseite.de';
$GLOBALS['TL_CONFIG']['ftpPath'] = '/';
$GLOBALS['TL_CONFIG']['ftpUser'] = 'nnn';
$GLOBALS['TL_CONFIG']['ftpPass'] = 'xxx';

erhalte ich beim nächsten check trotzdem die Meldung "You do need the Safe Mode Hack"

Du brauchst entgegen der Meinung des Contao-Check keinen Safe Mode Hack, schau in die Details zu der Meldung und zu 99,99% auf der nach oben offenen Skala sind nur die Ordner- und Dateirechte anders als vom Check gewünscht, die User stimmen aber überein. Die etwas anderen Rechte bei 1&1 reichen aber auch so problemlos um Contao damit ohne Safe Mode Hack zu betreiben. Also weg mit dem Safe Mode Hack.

Die Überprüfung der Installation mit dem Check solltest du allerdings durchführen, obwohl ich da von einem "false positive" des Virenscanners ausgehe, wenn deine eigene Überprüfung der Datei nichts ergeben hat.

**skipper2** · 13.03.2014, 14:33

Hallo zusammen,

vielen Dank für die schnelle Reaktion und Hilfestellung.

Der Check war bis auf zwei Dateien soweit o.k.
Diese beiden Dateien (colorbox.js u. colorbox.min.js) habe ich selbst geändert,
um einige Parameter für die Bildergalerien anzupassen.
Safe Mode Hack wieder entfernt.

Scheint also alles o.k. zu sein.

Vielen Dank noch einmal
Joachim