Achtung! Die WebsiteBaker Projektseite verbreitet Schadcodes!

[Ralf Hertsch]

Anfang der 3. KW 2014 wurde bekannt, dass die Original WebsiteBaker Installationsarchive seit mindestens Anfang November 2013 einen Schadcode enthalten.

Falls Sie seit November 2013 bis ein WebsiteBaker 2.8.3 Installationsarchiv von der Original Downloadseite

WebsiteBaker CMS | Neueste Version

heruntergeladen und installiert haben, sind Sie sehr wahrscheinlich betroffen.

Bitte prüfen Sie, ob die Datei

/languages/CH.php

vorhanden ist - falls ja, löschen Sie diese Datei umgehend, diese gehört nicht zu WebsiteBaker und enthält einen Schadcode.

Darüber hinaus scheint auch die Datei

/modules/menu_link/menu-lib.php

betroffen zu sein.

Weitere Informationen erhalten Sie über das WebsiteBaker Forum:

Möglicher Schadcode in den Websitebaker-Dateien?

Am 17.01.2014 wurde bekannt, dass wohl auch alle Add-on Archive auf der WebsiteBaker Projektseite den o.a. Schadcode enthalten. Die Downloads sind leider nach wie vor verfügbar und wurden nicht gesperrt.

Weitere Informationen erhalten Sie über das WebsiteBaker Forum:

Der aktuelle FCKEditor 2.9.9 enthält einen Virus

Bitte laden Sie vorläufig keine Installationsarchive oder Add-ons von der WebsiteBaker Projektseite herunter!

[Patrick]

Hallo Ralf

Gemaess dem WB-Forum ist die CH.php Datei im Template-Ordner des "wb-theme" vorhanden zu sein:

################################################################################
## 1&1 Abteilung Abuse # Information ueber den Malware Angriff                ##

################################################################################
## Liste der Hacker-Dateien                                                   ##
################################################################################
~/wbtest/templates/wb_theme/languages/CH.php

################################################################################

Grüsse, Patrick

P.S. Reicht es eigentlich wenn die Datei menu-lip.php gelöscht wird?

[Ralf Hertsch]

Hallo Patrick,

> P.S. Reicht es eigentlich wenn die Datei menu-lip.php gelöscht wird?

Ich hoffe es. Es bringt von den WB'lern leider keiner fertig die Signatur des Schadcodes zu publizieren - das würde eine Suche/Prüfung ungemein erleichtern ... 8-/

Gruß

Ralf

[Patrick]

Salut Ralf

Im Forum lese ich gerade, dass du ein Skript entwickelt hast, welches einem auffällige Ereignisse auf der Website per Mail meldet.

Stimmt und hilft das was in so einer Situation?

Gruss

Patrick

[Ralf Hertsch]

Hallo Patrick,

Am Freitag, 17. Januar 2014 16:39:38 UTC+1 schrieb Patrick:

Im Forum lese ich gerade, dass du ein Skript entwickelt hast, welches einem auffällige Ereignisse auf der Website per Mail meldet.

Stimmt und hilft das was in so einer Situation?

Damit ist dbWatchSite gemeint. Das Programm erstellt Prüfsummen für alle Verzeichnisse und meldet Veränderungen. Das hilft allerdings nur, wenn dbWatchSite die Prüfsummen erstellt hat _bevor_ der Schadcode eingespielt wird. In diesem Fall kommt der Schadcode ja bereits mit der Installation auf den Server - du hast also nicht die geringste Chance! Leider...

Gruß

Ralf 

[Patrick]

Salut Ralf

Merci für deine Info. Ja das dacht ich mir schon, dass es nur was nützt vor dem möglichen Schadende. Nun ich hab soweit mal bei zwei Seiten (Gott sei Dank sinds nicht mehr) den FCK 2.9.9 sowie die "CH.php" rausgeschmissen. Bei einer Site ist auch die Datei "menu-lip.php" vorhanden. Da auf dieser Website bisher Menü-Link nicht verwendet wurde, könnte man diese eigentlich auch kicken oder?

Patrick

[Ralf Hertsch]

Hallo Patrick,

ja, ich würde die auf jeden Fall rauswerfen!

Gruß

Ralf

[Patrick]

Salut Ralf

Danke dir. 

Hier noch der offizielle Tread bezgl. der Infizierung: http://www.websitebaker.org/forum/index.php/topic,26776.msg183903.html#msg183903

und leider wieder ein Hickhack (als ob das viel bringt!) im Forum: http://www.websitebaker.org/forum/index.php/topic,26772.0.html

Dann ist mir noch was aufgefallen. Unter diesem Link wurde am 27.11.13 bereits drauf hingewiesen: http://www.websitebaker.org/forum/index.php/topic,26547.0.html

Ok, vielleicht versteh ich was falsch aber da steht dass man die "example.php* Datei im Ordner "idna_convert" rauswerfen sollte, da sie von Websitebaker sowieso nicht benutzt wird. Warum ist die Datei dann in der Version vom offiziellen Download wieder drin??? 

Versteh ich da was verkehrt, bezw. soll die example.php Datei nun raus oder nicht? Bin verwirrt...

Grüsse

Patrick

[Ralf Hertsch]

Hallo Patrick,

Am Montag, 20. Januar 2014 14:34:11 UTC+1 schrieb Patrick:

Dann ist mir noch was aufgefallen. Unter diesem Link wurde am 27.11.13 bereits drauf hingewiesen: http://www.websitebaker.org/forum/index.php/topic,26547.0.html

Ok, vielleicht versteh ich was falsch aber da steht dass man die "example.php* Datei im Ordner "idna_convert" rauswerfen sollte, da sie von Websitebaker sowieso nicht benutzt wird. Warum ist die Datei dann in der Version vom offiziellen Download wieder drin??? 

Versteh ich da was verkehrt, bezw. soll die example.php Datei nun raus oder nicht? Bin verwirrt...

naja, das ist die offizielle Politik: "Ja, wissen, dass sich im Ordner /includes/idna_convert eine Datei befindet, die ein Sicherheitsrisiko enthält. Nein, wir werden diese Datei nicht entfernen, da sie kein Bestandteil des WebsiteBaker Core ist."

Das kennen wir ja schon lange genug ... 8-)

Wirf die Datei einfach raus! 

Gruß

Ralf

[MK70]

Da kann man nicht mehr viel zu sagen... ;-(
Ich denke ein System von Websitebaker würde bei mir niemals mehr genutzt werden...

LG Markus

Am Montag, 20. Januar 2014 14:46:36 UTC+1 schrieb Ralf Hertsch:

Hallo Patrick,

naja, das ist die offizielle Politik: <--->

[Patrick]

Hi Markus

Mit welchem System arbeitest du?

Grüsse

Patrick

[MK70]

Mahlzeit ;-)

ich habe 2 Systeme mit Lepton aufgesetzt und werde für ein weiteres mal BlackCat ausprobieren. WB selbst habe ich nach ersten Bedenken (schon was her) wieder Deinstalliert. ;-)

LG Markus