[Magento] Malware of niet? - Softwareontwikkeling

donderdag 2 april 2015 20:53

Acties:

0 Henk 'm!

Topicstarter

Helaas heb ik last van malware bij Magento gekregen. Nu heb ik al heel veel verwijderd, maar kom op een aantal pagina's nog een script tegen dat ook lijkt op malware. Nu kan ik de juiste pagina niet vinden waar dit script op staat.

code:

1
2

 <div class="col-left sidebar grid4-1 grid-col2-sidebar in-sidebar"><script type="text/javascript">/* <!-- */ document.write(Base64.decode("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")); /* --> */</script></div>
                <div class="postscript grid-full in-col1"></div>

Het staat telkens op de categoriepagina. Weet iemand waar dit gevonden kan worden?

donderdag 2 april 2015 21:14

Acties:

0 Henk 'm!

Barryvdh

Highfive95 schreef op donderdag 02 april 2015 @ 20:53:
Helaas heb ik last van malware bij Magento gekregen. Nu heb ik al heel veel verwijderd, maar kom op een aantal pagina's nog een script tegen dat ook lijkt op malware. Nu kan ik de juiste pagina niet vinden waar dit script op staat.

code:

1
2

 <div class="col-left sidebar grid4-1 grid-col2-sidebar in-sidebar"><script type="text/javascript">/* <!-- */ document.write(Base64.decode("PGRpdiBpZD0ic2xuLWZpbHRlci1kZWZhdWx0IiBjbGFzcz0iYmxvY2sgYmxvY2stbGF5ZXJlZC1uYXYiPgogICAgPGRpdiBjbGFzcz0iYmxvY2stdGl0bGUiPgogICAgICAgIDxzdHJvbmc+PHNwYW4+RmlsdGVyPC9zcGFuPjwvc3Ryb25nPgogICAgPC9kaXY+CiAgICA8ZGl2IGNsYXNzPSJibG9jay1jb250ZW50Ij4KICAgICAgICAgICAgICAgICAgICAgICAgICAgIDxwIGNsYXNzPSJibG9jay1zdWJ0aXRsZSI+RmlsdGVyPC9wPgogICAgICAgICAgICA8ZGwgaWQ9Im5hcnJvdy1ieS1saXN0Ij4KICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIDxkdD4KICAgICAgICAgICAgICAgICAgICAgICAgPHNwYW4+QnJlZWR0ZTwvc3Bhbj4KICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICA8L2R0PgogICAgICAgICAgICAgICAgICAgIDxkZD4KPG9sPgogICAgPGxpPgogICAgICAgICAgICAgICAgPGEgaHJlZj0iaHR0cDovL3d3dy5kZWNvbWEubmwvdG9lYmVob3Jlbi9wYXBpZXJyb2xob3VkZXJzLXZvb3ItaW5wYWtwYXBpZXIvZmlsdGVyL2JyZWVkdGUvMzBjbSI+MzAgY20gPC9hPgogICAgICAgICAgICAgICAgICAgICAgICAoMSkKICAgICAgICAgICAgPC9saT4KICAgIDxsaT4KICAgICAgICAgICAgICAgIDxhIGhyZWY9Imh0dHA6Ly93d3cuZGVjb21hLm5sL3RvZWJlaG9yZW4vcGFwaWVycm9saG91ZGVycy12b29yLWlucGFrcGFwaWVyL2ZpbHRlci9icmVlZHRlLzUwY20iPjUwIGNtIDwvYT4KICAgICAgICAgICAgICAgICAgICAgICAgKDEpCiAgICAgICAgICAgIDwvbGk+CiAgICA8bGk+CiAgICAgICAgICAgICAgICA8YSBocmVmPSJodHRwOi8vd3d3LmRlY29tYS5ubC90b2ViZWhvcmVuL3BhcGllcnJvbGhvdWRlcnMtdm9vci1pbnBha3BhcGllci9maWx0ZXIvYnJlZWR0ZS83NWNtIj43NSBjbSA8L2E+CiAgICAgICAgICAgICAgICAgICAgICAgICgxKQogICAgICAgICAgICA8L2xpPgo8L29sPgo8L2RkPgogICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgPGR0PgogICAgICAgICAgICAgICAgICAgICAgICA8c3Bhbj5LbGV1cjwvc3Bhbj4KICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICA8L2R0PgogICAgICAgICAgICAgICAgICAgIDxkZD4KPG9sPgogICAgPGxpPgogICAgICAgICAgICAgICAgPGEgaHJlZj0iaHR0cDovL3d3dy5kZWNvbWEubmwvdG9lYmVob3Jlbi9wYXBpZXJyb2xob3VkZXJzLXZvb3ItaW5wYWtwYXBpZXIvZmlsdGVyL2tsZXVyL2dyaWpzIj5HcmlqczwvYT4KICAgICAgICAgICAgICAgICAgICAgICAgKDMpCiAgICAgICAgICAgIDwvbGk+Cjwvb2w+CjwvZGQ+CiAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgPGR0PgogICAgICAgICAgICAgICAgICAgICAgICA8c3Bhbj5Qcmlqczwvc3Bhbj4KICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICA8L2R0PgogICAgICAgICAgICAgICAgICAgIDxkZD4KPG9sPgogICAgPGxpPgogICAgICAgICAgICAgICAgPGEgaHJlZj0iaHR0cDovL3d3dy5kZWNvbWEubmwvdG9lYmVob3Jlbi9wYXBpZXJyb2xob3VkZXJzLXZvb3ItaW5wYWtwYXBpZXIvZmlsdGVyL3ByaWNlLzgsMTAiPjxzcGFuIGNsYXNzPSJwcmljZSI+4oKswqA3MCwwMDwvc3Bhbj4gLSA8c3BhbiBjbGFzcz0icHJpY2UiPuKCrMKgODAsMDA8L3NwYW4+PC9hPgogICAgICAgICAgICAgICAgICAgICAgICAoMSkKICAgICAgICAgICAgPC9saT4KICAgIDxsaT4KICAgICAgICAgICAgICAgIDxhIGhyZWY9Imh0dHA6Ly93d3cuZGVjb21hLm5sL3RvZWJlaG9yZW4vcGFwaWVycm9saG91ZGVycy12b29yLWlucGFrcGFwaWVyL2ZpbHRlci9wcmljZS8xMCwxMCI+PHNwYW4gY2xhc3M9InByaWNlIj7igqzCoDkwLDAwPC9zcGFuPiAtIDxzcGFuIGNsYXNzPSJwcmljZSI+4oKswqAxMDAsMDA8L3NwYW4+PC9hPgogICAgICAgICAgICAgICAgICAgICAgICAoMSkKICAgICAgICAgICAgPC9saT4KICAgIDxsaT4KICAgICAgICAgICAgICAgIDxhIGhyZWY9Imh0dHA6Ly93d3cuZGVjb21hLm5sL3RvZWJlaG9yZW4vcGFwaWVycm9saG91ZGVycy12b29yLWlucGFrcGFwaWVyL2ZpbHRlci9wcmljZS8xMiwxMCI+PHNwYW4gY2xhc3M9InByaWNlIj7igqzCoDExMCwwMDwvc3Bhbj4gLSA8c3BhbiBjbGFzcz0icHJpY2UiPuKCrMKgMTIwLDAwPC9zcGFuPjwvYT4KICAgICAgICAgICAgICAgICAgICAgICAgKDEpCiAgICAgICAgICAgIDwvbGk+Cjwvb2w+CjwvZGQ+CiAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgPC9kbD4KICAgICAgICAgICAgPHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiPmRlY29yYXRlRGF0YUxpc3QoJ25hcnJvdy1ieS1saXN0Jyk8L3NjcmlwdD4KICAgICAgICAgICAgPC9kaXY+CjwvZGl2Pg==")); /* --> */</script></div>
                <div class="postscript grid-full in-col1"></div>

Het staat telkens op de categoriepagina. Weet iemand waar dit gevonden kan worden?

Je kan hem even decoderen dan zie je wat er in staat, bijvoorbeeld op https://www.base64decode.org/

HTML:

<div id="sln-filter-default" class="block block-layered-nav">
    <div class="block-title">
        <strong><span>Filter</span></strong>
    </div>
    <div class="block-content">
                            <p class="block-subtitle">Filter</p>
            <dl id="narrow-by-list">
                                                                                                    <dt>
                        <span>Breedte</span>
                                            </dt>
                    <dd>
<ol>
    <li>
                <a href="http://www.decoma.nl/toebehoren/papierrolhouders-voor-inpakpapier/filter/breedte/30cm">30 cm </a>
                        (1)
            </li>
    <li>
                <a href="http://www.decoma.nl/toebehoren/papierrolhouders-voor-inpakpapier/filter/breedte/50cm">50 cm </a>
                        (1)
            </li>
    <li>
                <a href="http://www.decoma.nl/toebehoren/papierrolhouders-voor-inpakpapier/filter/breedte/75cm">75 cm </a>
                        (1)
            </li>
</ol>
</dd>
                                                                                                    <dt>
                        <span>Kleur</span>
                                            </dt>
                    <dd>
<ol>
    <li>
                <a href="http://www.decoma.nl/toebehoren/papierrolhouders-voor-inpakpapier/filter/kleur/grijs">Grijs</a>
                        (3)
            </li>
</ol>
</dd>
                                                                    <dt>
                        <span>Prijs</span>
                                            </dt>
                    <dd>
<ol>
    <li>
                <a href="http://www.decoma.nl/toebehoren/papierrolhouders-voor-inpakpapier/filter/price/8,10"><span class="price">€ 70,00</span> - <span class="price">€ 80,00</span></a>
                        (1)
            </li>
    <li>
                <a href="http://www.decoma.nl/toebehoren/papierrolhouders-voor-inpakpapier/filter/price/10,10"><span class="price">€ 90,00</span> - <span class="price">€ 100,00</span></a>
                        (1)
            </li>
    <li>
                <a href="http://www.decoma.nl/toebehoren/papierrolhouders-voor-inpakpapier/filter/price/12,10"><span class="price">€ 110,00</span> - <span class="price">€ 120,00</span></a>
                        (1)
            </li>
</ol>
</dd>
                                            </dl>
            <script type="text/javascript">decorateDataList('narrow-by-list')</script>
            </div>
</div>

Lijkt dus wel echt bij je shop te horen.

Hier ook een artikel over base64 en Magento, dus lijkt vaker voor te komen: http://inchoo.net/magento...w-can-we-benefit-from-it/

Also in administration part when you search in grid in some column some value you can see that Magento is using base64 to encode your filter(s).

donderdag 2 april 2015 21:25

Acties:

0 Henk 'm!

Highfive95

Topicstarter

Barryvdh schreef op donderdag 02 april 2015 @ 21:14:

Lijkt dus wel echt bij je shop te horen.

Hier ook een artikel over base64 en Magento, dus lijkt vaker voor te komen: http://inchoo.net/magento...w-can-we-benefit-from-it/

[...]

Top!

Maar hoe heb jij die code ingevoerd op Base64? Ik krijg namelijk niks te zien.

donderdag 2 april 2015 21:38

Acties:

0 Henk 'm!

Barryvdh

Het gaat dus om de letters tussen 'Base64.decode("' en '")', dus PGRpdiBpZD0... tm .. l2Pg==

vrijdag 3 april 2015 13:36

Acties:

0 Henk 'm!

Highfive95

Topicstarter

Bedankt!

[ Voor 6% gewijzigd door Highfive95 op 06-04-2015 14:50 ]

donderdag 9 april 2015 10:17

Acties:

0 Henk 'm!

Xantios

Magento heeft inderdaad wel vaker de neiging om base64 te gebruiken op rare plekken.
ben toch benieuwd, wat voor een malware had je te pakken?

donderdag 9 april 2015 10:31

Acties:

0 Henk 'm!

Highfive95

Topicstarter

Xantios schreef op donderdag 09 april 2015 @ 10:17:
Magento heeft inderdaad wel vaker de neiging om base64 te gebruiken op rare plekken.
ben toch benieuwd, wat voor een malware had je te pakken?

Waarschijnlijk via lek in wordpress code terecht gekomen op de site. Werken met wordpress voor blog op de webshop.

Genereerde advertenties zodra je op de site kwam.

Probleem is echter dat nog niet helemaal weg is. Werken met adwords en nu is de site weer opgeschort ivm malware.

Weer op zoek naar de malware.

[ Voor 4% gewijzigd door Highfive95 op 09-04-2015 10:34 ]

vrijdag 10 april 2015 09:29

Acties:

0 Henk 'm!

Xantios

Highfive95 schreef op donderdag 09 april 2015 @ 10:31:
[...]

Waarschijnlijk via lek in wordpress code terecht gekomen op de site. Werken met wordpress voor blog op de webshop.

Genereerde advertenties zodra je op de site kwam.

Probleem is echter dat nog niet helemaal weg is. Werken met adwords en nu is de site weer opgeschort ivm malware.

Weer op zoek naar de malware.

Wordpress heeft de laatste tijd wel erg vaak last van dit soort problemen

wordt hier niet heel vrolijk van.
Gebruik je een extensie voor adwords? in dat geval zou je in 'public_html/app/etc/modules/naamVanDing.xml' 'm even uit kunnen schakelen, en opnieuw inschakelen.
dit zou de cms-blocks en dergelijke mogelijk wel weer updaten. ( wij hadden een vergelijkbaar probleem met onze shop, geen virussen gelukkig )