Was für eine Malware ist das?

1 Antwort

Neugier2022
08.12.2023, 11:15
Es geht um eine gehackte Wordpress-Webseite. Habe eine kleine Odyssee hinter mir.

Glaub ich Dir.

Nachdem nun serverseitig ein Backup eingespielt wurde, sind zwar zwei Probleme verschwunden, eines bleibt aber. Wordfence erkennt dieses Problem zwar, gibt aber die Meldung aus, dass es die betreffende Datei nicht reparieren kann:

Also: Die mit Code infizierte index.php (siehe unten einen Ausschitt) im Rootverzeichnis stellt sich augenblicklich wieder auf 444 zurück, nachdem ich sie auf 674 stelle, sie bearbeite/säubere hochlade, oder versuche, sie mit einer sauberen Version zu ersetzen.

Was ich bisher verstanden habe:

Du machst

chmod 674 dateiname

Die Datei steht aber nachher auf 444. Richtig?

Ist die Datei dann inhaltlich wieder verändert oder ist sie gleich geblieben?

Wenn gleich geblieben, schau mal, ob die Dateiberechtigungen vererbt worden sind. Ist das ausgeschlossen, schau mal in crontab, ob da ein Command reingeschlingelt wurde, der ständig zuhaut.

Ein Virus würde die Datei verändern und dann wohl gegen Veränderung schützen (444), aber wenn sie nicht verändert wurde, könnte es ein Rückstand sein, der das immer noch bewirkt (wenn nicht cron, dann vielleicht ein Script, das beim Start als Endlosschleife mit hochläuft /etc/init.d).

Meine Fragen: Was macht dieser Code? Woher kommt der Befehl, dass sich diese Datei immer wieder neu erstellt und nicht bearbeiten lässt? (Die Seite läuft nach außen hin einwandfrei und ich komme auch aufs Dashboard.)

Was der Code da macht, weiß ich nicht. Er sieht obfuskiert aus. Das andere hab ich Dir vorher erklärt.

Bevor ich nämlich die ganze Seite neu aufsetze, möchte ich aber alles versuchen um zu verstehen was hier abgeht. Vielen Dank im Voraus.

Glaub ich gerne. Würde eher den Krempel archivieren und im Labor untersuchen, aber den Server frisch aufsetzen.
Bea1357 
Fragesteller
 08.12.2023, 13:25

Danke für die rasche Antwort.

1.) chmod 674 dateiname:

Ich arbeite derzeit mit PC und habe das Dateiattribut mittels dem FTP Programm "Total Commander" geändert.

2.) Die Datei steht aber nachher auf 444. Richtig?

ja, automatisch wieder auf 444

3.) Ist die Datei dann inhaltlich wieder verändert oder ist sie gleich geblieben?

Habe gerade getestet und frühere Sicherheitskopien verglichen.

Vor der Wiederherstellung aus dem Backup hat sich der Inhalt der index.php immer wieder geändert. Jetzt, nach Einspielen des Backups und Wordfence check ändert sich nichts mehr am Inhalt sobald ich versuche, die Datei zu bearbeiten oder zu überschreiben (was das System ja beides nicht zulässt).

4.) Ein Virus würde die Datei verändern und dann wohl gegen Veränderung schützen (444), aber wenn sie nicht verändert wurde, könnte es ein Rückstand sein, der das immer noch bewirkt (wenn nicht cron, dann vielleicht ein Script, das beim Start als Endlosschleife mit hochläuft /etc/init.d).

Danke für die offensichtliche Entwarnung, dass es sich wahrscheinlich nur um einen Rückstand handelt und nicht um einen aktiven Virus. Falls du mich auf die Datei wp-cron.php verwiesen hast - in der konnte ich nichts Verdächtiges finden. Wo ich bezüglich eventuellem endloslaufenden Script in "/etc/init.d" nachsehen soll, entzieht sich leider meiner Kenntnis. Kannst du mir da nochmal weiterhelfen?

5.) Er sieht obfuskiert aus

Ja, sieht so aus

6.) Würde eher den Krempel archivieren und im Labor untersuchen, aber den Server frisch aufsetzen

Bin knapp davor. Was mir aber nicht klar ist, und vielleicht kannst du mir das sagen: Kann auch eine Datenbank von Malware befallen sein? Vermutlich nicht, weil sie ja nur Inhalt liefert - oder doch?

0
Neugier2022  08.12.2023, 20:45
@Bea1357
Danke für die offensichtliche Entwarnung, dass es sich wahrscheinlich nur um einen Rückstand handelt und nicht um einen aktiven Virus. Falls du mich auf die Datei wp-cron.php verwiesen hast - in der konnte ich nichts Verdächtiges finden. Wo ich bezüglich eventuellem endloslaufenden Script in "/etc/init.d" nachsehen soll, entzieht sich leider meiner Kenntnis. Kannst du mir da nochmal weiterhelfen?

Musst aufpassen. Ein Überbleibsel kann das durchaus sein, was Dir da die Zugriffsrechte verdreht. Es kann auch sein, dass es nicht der einzige Rückstand ist. Ich denke da z.B. an eine Dropper-Komponente, die hin und wieder den richtigen Virus aus dem Netz nachlädt und in Gang bringt. Es ist also durchaus möglich, dass Du die Haustür wieder zugemacht hast, aber es kann sein, dass Du sie nicht mehr verschließen kannst oder das keinen Sinn mehr macht, weil jemand einen Schlüssel hat (Backdoor).

Ich weiß jetzt nicht, welchen Linux-Unterbau Du am Start hast, aber ich dachte an Startup-Scripte, die das System zu Beginn lädt. Die liegen normalerweise unter /etc/init.d, aber das kann abhängig von der Distri auch abweichen.

Bin knapp davor. Was mir aber nicht klar ist, und vielleicht kannst du mir das sagen: Kann auch eine Datenbank von Malware befallen sein? Vermutlich nicht, weil sie ja nur Inhalt liefert - oder doch?

Durchaus. Eine DB kann BLOBs speichern, also Dateien und Datenströme im Binärcode. Der ist durchaus ausführbar und wird in den Arbeitsspeicher gelesen. Wenn dann die DB nicht sauber gepatcht ist und ein Pufferüberlauf oder Ähnliches ausgelöst wird, dann wird er auch ausgeführt.

1
Bea1357 
Fragesteller
 09.12.2023, 22:20
@Neugier2022

Danke, @Neugier2022

Noch eine Frage schließt sich hier an: Wie scannt man eine Datenbank am besten nach Malware? Welches Programm würdest du mir raten? Hätte da zB virustotal.com oder htmlpurifier.org gefunden.

0
Neugier2022  10.12.2023, 08:53
@Bea1357

Hier wird's schwierig. Es heißt meistens, dass man Virenscanner so einstellen soll, dass sie Datenbankdateien beim Scan ausschließen, um den Betrieb der DB nicht zu stören.

Mir ist tatsächlich bisher kein Scanner bekannt, der BLOBs innerhalb einer DB scannen kann. Vielleicht geht das nur mit einem Agent oder ein nativer DB-Agent, dem man mittels Script beibringt, die BLOBs in regelmäßigen Abständen zu exportieren, damit der Scanner sie dann überprüfen kann.

0