Malware in Web-Unterverzeichnis versteckt?

[SBK 3]

Hallo Leute,

 

Wir erhalten die letzten Tage sehr viele gefälschte Mails (komplett unterschiedlicher Textinhalt) mit der Absicht einen Trojaner unterzujubeln. Untenstehend ein Beispiel von heute Vormittag.

 

Natürlich sieht man es von weitem das es ein gefaktes Mail ist. Was mich aber erstaunt, ist das wenn jemand den Link anklickt, der Antivirus gleich anspringt und das Skript isoliert.

 

Der Link verweist ja nur auf ein Verzeichnis. Wurde der Webserver so manipuliert, das er gleich ein JS-Skript oder ausführt? Wie untersucht ihr Malware? Setzt ihr da eine virtuelle Maschine oder Sandbox ein?

 

Gruss SBK

Zitat

 

 

bearbeitet 30. April 2019 von SBK

[mwiederkehr 373]

Webserver haben ein Standard-Dokument, welches sie ausliefern, wenn man keine Datei angibt. Wenn man auf google.de geht, muss man ja auch nicht google.de/index.php eintippen.

 

Wenn ich die Datei abrufe, erhalte ich ein Word-Dokument. Dieses wird der Virenscanner mit Hilfe seiner Signaturen erkennen.

 

Der Server könnte aber theoretisch erkennen, was für ein Client ankommt und auch eine andere Datei liefern (zum Beispiel eine manipulierte Android-App, wenn ein Smartphone kommt).

 

Ich rufe solche Dateien mit wget ab und speichere sie mit anderer Endung. wget hat im Gegensatz zu einem Browser keine JavaScript-Engine, kann also wirklich nur downloaden.

[testperson 1.677]

Hi,

vor 38 Minuten schrieb SBK:

Über unten stehenden Link haben Sie die Möglichkeit, die Rechnung einzusehen:

evtl. solltest du den Link hinter der URL hier im Board entfernen. Nicht das es nachher noch heißt, dass Maleware von hier verteilt wird. ;)

 

Gruß

Jan

bearbeitet 29. April 2019 von testperson

[SBK 3]

@mwiederkehrDanke werde mir die Wget-Funktion mal genauer anschauen und natürlich hast Du Recht, das der Webserver ja standardmässig ein default.php oder ähnliches ausführt. Aber das dies gleich die Endpoint Protection auf den Plan ruft, ohne das der Benutzer eine Datei bewusst öffnet oder herunterläd, hat mich dann doch erstaunt.

 

@testperson Danke für den Hinweis. Habe den Link soeben entfernt, will ja nicht das MCSEboard als Malwareschleuder missbrauchen...

 

bearbeitet 29. April 2019 von SBK

[BlackShadow 12]

Hallo, ich hatte es schon öfters mit infizierten Wordpress Instancen zu tun. Meist lag es daran das man kein Update gemacht hat.

 

Zum Problem, schau dir doch mal die Verzeichnisse an, gerade im Bereich der Plugins und Themes.

Wenn da komische Dateien wie Af43f.php sind dann sind die schon mal fehl am Platz.

Oder andere PHP Dateien die neueren Datums haben. 

 

Wenn die URL /wp-admin/nachrichten/Frage/2019-04/ schon lautet steckt was im wp-admin drin.

 

Gibt es Zugriff auf eine Shell Console beim Hoster?

 

Grüße 

[Lian 2.421]

vor 3 Stunden schrieb testperson:

evtl. solltest du den Link hinter der URL hier im Board entfernen. Nicht das es nachher noch heißt, dass Maleware von hier verteilt wird. ;)

Link ist nun entschärft.

 

@SBK Bitte etwas vorsichtiger sein in Zukunft.

Noch so eine Aktion (Malware-Direkt-Download und der Aufforderung zur Entfernung nicht gefolgt) wird Dein Account hier nicht überleben!

[SBK 3]

@Lian: Ich hatte wenige Minuten nach dem Post - aufgrund des Hinweises von Testperson - den Link entfernt. Werde in Zukunft - falls das überhaupt wieder vorkommt - den Link ganz weglassen.