Update auf Contao Manager 1.10.14. - php-Schadcode - Webseiten gesperrt

[Wian]

In Verbindung mit dem Update auf die 5.7.6 wurde auch der Contao Manager auf die 1.10.14 angepasst. Heute erhielt ich eine Info vom Provider, dass der Virenscanner angeschlagen hat und mein gesamter Account gesperrt wurde.

Ich wurde aufgefordert folgende Datei zu entfernen:

contao-manager/cache/repo/https---repo.packagist.org/provider-paragonie~constant_time_encoding.json

Mal sehen, ob das Löschen der Datei geholfen hat.

Habt Ihr sonst eine Idee dazu? Manager complett löschen?

Folgende konkrete Meldung:
Gefunden wurden 7 Schaddateien: eine als JSON getarnte PHP-Webshell, identisch
(jeweils 19.516 Bytes), eingeschleust am 15.06.2026. Sie liegen in den Cache-
Verzeichnissen des Contao-Managers von 7 Contao-Installationen. Der Dateiname
'provider-paragonie~constant_time_encoding.json' gehört im Original zu einer harmlosen
Paket-Cache-Datei — hier wurde unter diesem Namen jedoch PHP-Schadcode abgelegt (Tarnung).

[Spooky]

Hast du die Original-Datei noch?

[Wian]

Ja, ich habe sie einmal runtergeladen. Wie soll ich sie dir senden?

Und ich hätte gern gewusst, ob da wirklich Schadcode drin ist und was ich meinem Provider sagen kann. Alle meine Webseiten inklusive derer meiner Kunden sind immer noch gesperrt.

Aktuell sind schon die ersten Webseiten wieder entsperrt. Ein Lichtblick. Bleibt die Frage, ob das mit dem Schadcode ein Fehlalarm war oder nicht. Und ab wann man wieder gefahrenlos über den Contao Manager updaten kann.

[Wian]

Ca. 25 Webseiten wurden nach einem Update auf Version 5.7.6 vom Provider gesperrt und waren ca. 24 Stunden offline. Irgendwie hätte ich gern gewusst, ob es Schadcode war oder ob das eine Fehlreaktion des Providers war. Der Provider nutzt Plesk und sicherlich auch einen handelsüblichen Virenscanner.

Das Nächste ist die Frage, ob man einfach wieder Updates machen kann ohne eine Sperrung zu riskieren. An wen kann ich mich wenden? Ist das Forum vielleicht der falsche Platz?

Vielen Dank für eine Reaktion/Tipp!

[Spooky]

Das Nächste ist die Frage, ob man einfach wieder Updates machen kann ohne eine Sperrung zu riskieren. An wen kann ich mich wenden? Ist das Forum vielleicht der falsche Platz?

Das Forum ist für gegenseitige Community-Hilfe da. Bezahlten Support gibt es "von Contao selbst" nicht - aber du könntest dich an einen Contao-Partner deines Vertrauens für die Analyse wenden.

[lucina]

Möglicherweise könntest du das Sample auch zur Erstinspektion einem Malwarescanner vorsetzen.

[Wian]

Müsste da nicht ein allgemeines Interesse bestehen zu ermitteln, ob in der besagte Datei Schadcode durch ein Update des Contao Managers eingeschleust wird? Letztlich betrifft das grundsätzlich alle Installationen, bei denen der Contao Manager aktualisiert wird.

Aber danke für deine Antwort! Da muss ich einen anderen Weg suchen, um das zu klären.

[lucina]

Jein. Die Software bzw die Komponente macht durchaus Dinge, die in manchen Zusammenhängen verdächtig erscheinen könnten (encoding / decoding).

In deren Repo habe ich jetzt auf die schnelle keine Hinweise auf Fehlfunktionen finden können, so dass ich auf den ersten Blick nicht davon ausgehe, dass es dort ein Problem gibt. Dann wäre sicher eher eine Antwort auf die Frage interessant, wie - wenn es Malware ist - sie in deinen Cache gekommen ist. Da sollte man sich mal Serverlogs anschauen.

[Wian]

Danke für Eure Antworten!

Das Eigenartige ist, dass es nur die Installationen mit dem Update des Contao-Managers betroffen hat und das nicht nur in meinem Account sondern auch in anderen, die nicht auf dem gleichen Server liegen.

Sicherlich hätte ich es schon eher machen können, aber irgendwie war ich in Schockstarre. ChatGPT meint:

Code:

Das ist typische Paketverwaltung, kein ausführbarer Code. Die Wörter wie:

base64_encode
base64_decode
hex2bin

können Virenscanner triggern, weil solche Funktionen auch in Malware vorkommen — hier sind sie aber nur als Schlagwörter/Beschreibung aufgeführt.

Wichtig:

Ich sehe kein <?php
kein eval(...)
kein system(...)
kein shell_exec(...)
keine Webshell-Muster ($_POST['cmd'] etc.)

Mein Urteil zu diesem Ausschnitt:
???? Sehr wahrscheinlich Fehlalarm.

[Spooky]

Hast du denn die Original-Datei denn nun selbst analysiert oder (von einem menschlichen Lebewesen) analysieren lassen?

[Wian]

Nein, nur KI. Aber auch erst heute. Hätte ich eher drauf kommen sollen.

[mlweb]

Wenn es bei Dir auf verschiedenen Servern aufgetreten ist, dann wäre für mich zunächst die Frage ist das der gleiche Hoster und damit mit hoher Wahrscheinlichkeit die gleiche Virenscanner Software.

Wenn das tatsächlich ein Problem des Managers wäre, dann hätten wohl auch andere das Problem. Ich arbeite z.B. mit Trakked, dort werden z.B. Aktualisierungen des Managers automatisch im Hintergrund eingespielt für alle überwachten Installationen. Da sind Installationen bei unterschiedlichsten Hostern dabei. Nicht einer hat "Alarm" geschlagen.

Müsste da nicht ein allgemeines Interesse bestehen zu ermitteln, ob in der besagte Datei Schadcode durch ein Update des Contao Managers eingeschleust wird? Letztlich betrifft das grundsätzlich alle Installationen, bei denen der Contao Manager aktualisiert wird.

Wenn tatsächlich Schadcode im Manager vorhanden ist oder durch den Manager eingeschleust wird sicherlich, wenn es allerdings ein Fehlalarm Deines Providers (vor allem nur Deines Providers) ist oder der Schadcode nur bei Dir auftritt, dann musst Du schauen woher er kommt bzw. wie er da hingekommen ist. Das hat @Lucina Dir ja auch schon geschrieben.