backupDBrun.php enthält Virus?

[bassben]

EDIT:
!!! backupDB enthält keinen Virus - Fehlvermutung !!!

Bei mir läuft der Avira Antivir in der Premium-Version und ich kriege jedesmal beim herunterladen eines DB Backups über backupDB die Meldung:

HTML-Code:

http://www.domain.de/system/modules/BackupDB/BackupDbRun.php
Enthält Erkennungsmuster des HTML Scriptvirus HTML/crypted.gen

Ist da was dran?

Vor kurzem wurde ja erst ein Trojaner bei einem FirefoxAddon gefunden, von daher ist denke ich eine gewisse Angst/Vorsicht berächtigt.

Danke.

[Nina]

Hast du schon mal gecheckt, ob der Webspace an sich versaut ist? Muss gar nicht unbedingt die Extension sein (wenngleich das natürlich auch dringend geprüft werden sollte). Wenn der Server an sich gehackt wurde, liegt darauf vielleicht ein Script das sich automatisiert in alle *.php Dateien reinschreibt. Dein Antivir zuckt dann an, sobald du eine davon bewusst aufruft. Könnte der Grund sein, muss aber nicht.

Hier die Antivir-Erklärung zur Meldung

Nachtrag:
Lade dir via FTP die besagte Datei mal runter und öffne sie in einem gängigen Editor. Schau nach, ob (meist am Ende) irgendwo ein IFrame-Aufruf steht.

Hier gab es auch im Joomla-Forum mal eine Erläuterung zu dieser Virus-Meldung und wie man damit umgeht.

Oft kommt sowas vor, weil die Webseitenbetreiber z. B. Filezilla in einer alten Variante nutzen und dadurch Hackern Tür und Tor öffnen (jetzt hier bitte keine Diskussion über den Unterschied zwischen hackern/crackern ). Oder auch über andere Sicherheitslücken auf dem Server oder auch im System. Ist dein TYPOlight aktuell?

[do_while]

Also ich habe sofort die besagte Datei im Repository überprüft. Da steht nur der gewollte PHP-Code drin, es ist keine Veränderung sichtbar.

Andere Virenscanner scheinen auch nicht anzuschlagen.

[bassben]

Ok, danke erstmal, ich wollte auch keine Panik verbreiten.

Scheinbar liegt es echt an "meiner" Seite.

Andere Typolightinstallationen (auf anderen Servern) funktionieren ohne Virenmeldung.

Ich habe mir mal alle Dateien vom Webspace heruntergeladen und lokal das ganze ausprobiert - der Virenscanner meldet Alarm.

Alle Dateien durchsucht, keine Iframes gefunden im Backupdb Modul.

... herumprobiert ... herumprobiert ... herumprobiert

Ich habe den Fehler etwas einschränken können.

Wenn ich der Typolightinstallation eine Datenbank einer anderen Typolightseite hinterlege, dann meldet sich der Virenscanner NICHT.

Kann es sein, dass die erzeugte .sql Datei irgendwas komisches enthalten könnte?

Nachtrag:
Problem besteht nach wie vor und ist scheinbar auf die Datenbank zurück zu führen. Wenn der SQL-Export jedoch über phpmyadmin durchgeführt wird gibt es keine Meldung vom Scanner

[do_while]

Hallo bassben,

es wäre ja ganz großer Zufall, wenn die Inhalte der SQL-Datei gerade die Bytekombination der Virensignatur enthalten.

Kann es evtl. sein, dass Du die Virensignatur in der Datenbank gespeichert hast? Evtl. eine eingegangene E-Mail in den Formular-Data?

Das wäre bei einer anderen Datenbank auch nicht der Fall, also ein Verhalten, wie Du es schilderst. Du kannst die kritische Stelle in der SQL-Datei mit einem Editor versuchen einzugrenzen, vielleicht findest Du die Tabelle oder den Eintrag direkt heraus. Ich tippe mal auf gespeicherte Formulardaten.