Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

[_simone_]

Moin,
auf einem, mit einem Javascript befallenen Server, muss ich den Schadcode entfernen. Bisher konnte ich das über SSH mit beispielsweise folgendem Befehl machen:
grep -rl "Javascriptcode" . | xargs sed -i -e 's/"Javascriptcode"//'
Leider funktioniert das so nicht mehr, da der Code deutlich mehr als 255 Zeichen hat.

Hat jemand eine Idee, wie ich das bewerkstelligen kann? Kann man evt. den "Javascriptcode" in eine Datei legen und diese über den o.s. Befehl auslesen lassen?
Ich bin leider mit meinem Latein am Ende und auf dem Server liegt u.a. ein grosses phpBB-Forum mit entsprechend vielen befallenen Dateien; *.html, *.tpl, *.php....etc.

Bin für jeden Tipp dankbar, die Forencommunity bestimmt auch. ; )
lg
Tom

NB: Alternativ müssten alle Dateien auf dem Server gelöscht werden und phpBB neu installiert werden und ein Backup eingespielt werden. Dabei dürften aber einige Daten verloren gehen, weil nicht alles "restauriert" werden könnte.

 

[reneromann]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Alternative ist z.B. die Verwendung eines Editors wie vi, nano oder dem im mc mitgelieferten...
Allerdings nur dann, wenn es sich um einzelne oder relativ wenige Dateien handelt.

Ansonsten per WinSCP die Files laden, bearbeiten und danach wieder hochladen.

 

[salepix.de]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Klar, Manpages sind immer zur Hilfe

Manpage for grep - man.cx manual pages

 

[salepix.de]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

@reneromann: Dies ist hierbei unpassend bei der großen Datei-Menge.

 

[_simone_]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

@reneromann: Dies ist hierbei unpassend bei der großen Datei-Menge.

genau ; )

thx für den Link, da hab ich erstmal was zu tun. Mal sehen, ob ich das irgendwie hin bekomme. Muss ja^^

 

[salepix.de]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Da kannst du irgendwo aus der Datei einlesen. D.h. in der Datei den code speichern und los gehts.

 

[MBesancon]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Kannst du für den zu ersetzenden Text keinen "regex" bauen? Mit einem Regex könntest du z.B.:

find /path/ -type f -iname "muster" -exec sed -i s/ALT/NEU/g {} \;

benutzen.

Edit: Gerade gesehen das du das im ersten Beitrag schon ausschließt. Sorry

 

[_simone_]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Moin Marcel,

ausgeschlossen hab ich das nur wegen der Zeichenlänge des Schadcodes. Der passt einfach mit seinen über 255 Zeichen nicht in den Befehl rein. *grrrr*

Den Server werde ich wohl platt machen müssen, Forum neu installieren und ein Backup draufpacken. Lustig wird es nur mit den gefühltne 1 Millionen anderen Dateien, in denen der Code auch drin ist.

NB: Dieser Javascriptcode (JS/EXP.Redir.EL.7) wird überigens von den aktuellen Versionen von Kapersky und Symantec nicht gefunden, von Avira schon. tzzz

 

[_simone_]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Da kannst du irgendwo aus der Datei einlesen. D.h. in der Datei den code speichern und los gehts.

@salepix.com: Den code kann ich ja problemlos manuell in eine Datei speichern, aber den Insert in die zig Dateien bekomme ich (noch) nicht hin.
lg
Tom

 

[DieUpdater]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Du hast natürlich schon heraus gefunden wie der Angreifer vorgegangen ist ?

 

[reneromann]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Du hast natürlich schon heraus gefunden wie der Angreifer vorgegangen ist ?

Ich schätze mal, dass das Forum nicht regelmäßig gewartet wurde...

Die Methode mit WinSCP bietet dir die Möglichkeit, dass du z.B. mit Notepad++ auf deinem lokalen System "Ersetzen in Dateien" machen kannst.

 

[_simone_]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Du hast natürlich schon heraus gefunden wie der Angreifer vorgegangen ist ?

Dann wäre ich schon ein Schritt weiter. ; )

Den Schadcode gibt es "offiziell" erst seit 16.5.2013 und wird mehr oder weniger als harmlos deklariert und angeblich noch nicht in freier Wildbahn. *lol*
In div. Foren ist aber seit neustem von einigen Webserverinfektionen zu lesen. Trotz Neuinstallationen ist der anscheinend wieder aufgetaucht...hm...

Ich kann mir meine Infektion nicht erklären: Mein Rechner ist IMHO sauber und stutzig macht mich, das eine andere Webspace von mir befallen ist, auf der ich oder jemand anderes definitiv nicht mit ftp drauf war. Einer der Helfer im Trojanerboard spricht mittlerweile auch von einem evt. Providerproblem. Mehr ist im Netz über den Code noch nicht zu erfahren.

 

[_simone_]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Ich schätze mal, dass das Forum nicht regelmäßig gewartet wurde...

Die Methode mit WinSCP bietet dir die Möglichkeit, dass du z.B. mit Notepad++ auf deinem lokalen System "Ersetzen in Dateien" machen kannst.

Deine Schätzung ist fast richtig: Es ist phpBB 3.0.10 anstatt der aktuellen 3.0.11 drauf. ; )
Ob das der Grund für die Kompromittierung ist, wird sich hoffentlich noch herausstellen. Ich vermute mal nicht, da aktuell auch Joomla-CMS betroffen sind.

Mit WinSCP und Notepad++ hast du recht, aber man würde 4x suchen und ersetzen müssen, da der Code zu lang ist, leider. (habs schon probiert)

 

[reneromann]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Neulich kam bei Hetzner eine Mail rum, dass wohl ein Teil der Passwörter ggf. ausgelesen wurde. Vielleicht seid ihr auch davon betroffen - dann solltet ihr DRINGEND das Passwort für den Hetznerzugang und das für euren FTP o.ä. ändern.
Da ich davon ausgehe, dass ihr noch "normales" FTP verwendet, wäre auch ein Umstieg auf SSH + Keyfiles mit Abschaltung des Passwort-Logins eine Option.

 

[_simone_]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Auf jeden fall ein guter Tip! "Normales" FTP ist irgendwie überholt. ; )

Die Server die betroffen sind sind allerdings nicht bei Hetzner, sondern bei allinkl und Domainfactory.

 

[MBesancon]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Neulich kam bei Hetzner eine Mail rum, dass wohl ein Teil der Passwörter ggf. ausgelesen wurde. Vielleicht seid ihr auch davon betroffen - dann solltet ihr DRINGEND das Passwort für den Hetznerzugang und das für euren FTP o.ä. ändern.

Da waren aber "nur" die Passwörter für den Robot gemeint. Deine Server-Passwörter sind da nicht hinterlegt. Und selbst wenn da ein initiales Passwort für den Server gelegen haben sollte wäre es mehr als fahrlässig mit diesem Passwort produktiv zu arbeiten

 

[reneromann]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Da waren aber "nur" die Passwörter für den Robot gemeint. Deine Server-Passwörter sind da nicht hinterlegt. Und selbst wenn da ein initiales Passwort für den Server gelegen haben sollte wäre es mehr als fahrlässig mit diesem Passwort produktiv zu arbeiten

Na ja - trotzdem kommt man mit dem Robot aber zumindest auf die Konsole vom Server (z.B. STRG+ALT+ENTF) bzw. auf das Recovery-System...
Und mit dem Recovery-System kann man dann auch auf das "Hauptsystem" zugreifen und ggf. Änderungen daran vornehmen.

 

[MBesancon]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Na ja - trotzdem kommt man mit dem Robot aber zumindest auf die Konsole vom Server (z.B. STRG+ALT+ENTF) bzw. auf das Recovery-System...
Und mit dem Recovery-System kann man dann auch auf das "Hauptsystem" zugreifen und ggf. Änderungen daran vornehmen.

Da hast du natürlich absolut recht.

 

[salepix.de]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

Glaube nicht, dass es an den Passwörtern liegt wenn es schon bei mehreren Stellen zu lesen ist. Viel mehr muss es bereits Exploits geben, welche dann die eine oder andere Lücke ausnutzen. Für die Sicherheitslücke wurde wohl ein Bot geschrieben welcher das im Inet nach den Foren scannt und dann die Sicherheitslücke ausnutzt. Daher ist es wichtig zu wissen wo die Lücke ist und diese zu schließen, wie Updater schon geschrieben hat. Somit nutzt es nichts den Forum zu säubern ohne zu wissen woher dies alles reingekommen ist.

 

[_simone_]

AW: Code ersetzen per SSH - Kann mir hier jemand den entscheidenden Tipp geben? Eilt!

So, ich hatte auf dem Server schon mal alle Dateien vom Schadcode befreit, aber nach kurzer Zeit war wieder alles befallen.
Nun hab ich alles incl. der Datenbanken gelöscht und neu installiert. Die sql-backups hab ich nach Schadcode durchsucht und nichts gefunden, also auch aufgespielt, die Forensoft aktualisiert und bisher - toi toi toi - nix, alles gut.

So wie es aussieht, muss der Code über die phpBB 3.0.10 gekommen sein. Mit der 3.0.11 ist dann hoffentlich alles gut.

Nochmal thx an alle für die Anteilnahme und die Infos *thumbsup*
lg
Tom