Jump to content

Malware in Web-Unterverzeichnis versteckt?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

Wir erhalten die letzten Tage sehr viele gefälschte Mails (komplett unterschiedlicher Textinhalt) mit der Absicht einen Trojaner unterzujubeln. Untenstehend ein Beispiel von heute Vormittag.

 

Natürlich sieht man es von weitem das es ein gefaktes Mail ist. Was mich aber erstaunt, ist das wenn jemand den Link anklickt, der Antivirus gleich anspringt und das Skript isoliert.

 

Der Link verweist ja nur auf ein Verzeichnis. Wurde der Webserver so manipuliert, das er gleich ein JS-Skript oder ausführt? Wie untersucht ihr Malware? Setzt ihr da eine virtuelle Maschine oder Sandbox ein?

 

Gruss SBK

Zitat

 

 

bearbeitet von SBK
Link zu diesem Kommentar

Webserver haben ein Standard-Dokument, welches sie ausliefern, wenn man keine Datei angibt. Wenn man auf google.de geht, muss man ja auch nicht google.de/index.php eintippen.

 

Wenn ich die Datei abrufe, erhalte ich ein Word-Dokument. Dieses wird der Virenscanner mit Hilfe seiner Signaturen erkennen.

 

Der Server könnte aber theoretisch erkennen, was für ein Client ankommt und auch eine andere Datei liefern (zum Beispiel eine manipulierte Android-App, wenn ein Smartphone kommt).

 

Ich rufe solche Dateien mit wget ab und speichere sie mit anderer Endung. wget hat im Gegensatz zu einem Browser keine JavaScript-Engine, kann also wirklich nur downloaden.

Link zu diesem Kommentar

@mwiederkehrDanke werde mir die Wget-Funktion mal genauer anschauen und natürlich hast Du Recht, das der Webserver ja standardmässig ein default.php oder ähnliches ausführt. Aber das dies gleich die Endpoint Protection auf den Plan ruft, ohne das der Benutzer eine Datei bewusst öffnet oder herunterläd, hat mich dann doch erstaunt.

 

@testperson Danke für den Hinweis. Habe den Link soeben entfernt, will ja nicht das MCSEboard als Malwareschleuder missbrauchen...:engel:

 

bearbeitet von SBK
Link zu diesem Kommentar

Hallo, ich hatte es schon öfters mit infizierten Wordpress Instancen zu tun. Meist lag es daran das man kein Update gemacht hat.

 

Zum Problem, schau dir doch mal die Verzeichnisse an, gerade im Bereich der Plugins und Themes.

Wenn da komische Dateien wie Af43f.php sind dann sind die schon mal fehl am Platz.

Oder andere PHP Dateien die neueren Datums haben. 

 

Wenn die URL /wp-admin/nachrichten/Frage/2019-04/ schon lautet steckt was im wp-admin drin.

 

Gibt es Zugriff auf eine Shell Console beim Hoster?

 

Grüße 

Link zu diesem Kommentar
vor 3 Stunden schrieb testperson:

evtl. solltest du den Link hinter der URL hier im Board entfernen. Nicht das es nachher noch heißt, dass Maleware von hier verteilt wird. ;)

Link ist nun entschärft.

 

@SBK Bitte etwas vorsichtiger sein in Zukunft.

Noch so eine Aktion (Malware-Direkt-Download und der Aufforderung zur Entfernung nicht gefolgt) wird Dein Account hier nicht überleben!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...