Toon posts:

SSH grep -Erlf mwscan.txt /path/to/magento

Pagina: 1
Acties:

maandag 14 augustus 2017 15:39

Acties:
  • 0 Henk 'm!
  • ThinClientQ
  • Registratie: April 2010
  • Laatst online: 28-09 09:18

ThinClientQ

Topicstarter
Goedemiddag Tweakers!

Ik ben beheerder van een kleine Magento website.
Nu heb ik deze recentelijk niet op tijd geupdate; met als gevolg ongewenste advertenties op de website.
Een hacker heeft een backdoor geïnstalleerd op de achterkant van de website.

Geen grote paniek, maar ik ben al enige tijd bezig om dit op te lossen.

Ik heb deze applicatie gevonden, een Magento Malware Scanner.
https://github.com/gwillem/magento-malware-scanner

Het eerste commando loopt perfect; wget git.io/mwscan.txt
Er komt correct een bestand genaamd mwscan.txt

Alleen hier heb ik mijn twijfels over, er gebeurt niks; grep -Erlf mwscan.txt /path/to/magento

Naar mijn idee moet het eindresultaat zijn; grep -Erlf mwscan.txt /var/www/vhosts/domeinnaam.nl/httpdocs/

Ik heb alle mappen één voor één gecontroleerd met tabjes.

Iemand een idee waar ik moet zoeken? Ben al vanaf 8 uur bezig. :)
Een klein duwtje is al voldoende, bedankt!

maandag 14 augustus 2017 16:23

Acties:
  • 0 Henk 'm!
  • DanielG
  • Registratie: Oktober 2005
  • Laatst online: 08-09 15:36

DanielG

i = 0x5f3759df - (i>>1); ☠₧ℳ🀪❣

Het kan heel goed dat je niets ziet, het enige wat dit doet is kijken of er ergens in jou Magento website bestanden de bekende malware teksten uit mwscan.txt terug komen. Als je niets terug ziet dan is de backdoor in jou Magento website anders dat degene die bekend zijn bij de makers van magento-malware-scanner. Het aanpassen van 1 teken in de backdoor kan er al voor zorgen dat je hem niet op deze manier vindt.

http://xyproblem.info/

maandag 14 augustus 2017 16:30

Acties:
  • 0 Henk 'm!
  • ThinClientQ
  • Registratie: April 2010
  • Laatst online: 28-09 09:18

ThinClientQ

Topicstarter
DanielG schreef op maandag 14 augustus 2017 @ 16:23:
Het kan heel goed dat je niets ziet, het enige wat dit doet is kijken of er ergens in jou Magento website bestanden de bekende malware teksten uit mwscan.txt terug komen. Als je niets terug ziet dan is de backdoor in jou Magento website anders dat degene die bekend zijn bij de makers van magento-malware-scanner. Het aanpassen van 1 teken in de backdoor kan er al voor zorgen dat je hem niet op deze manier vindt.
Op de afbeelding van onderstaande website staat dat hij elke bestand gaat scannen, maar dit lijkt niet te gebeuren.

https://github.com/gwillem/magento-malware-scanner

maandag 14 augustus 2017 16:33

Acties:
  • 0 Henk 'm!
  • DJVG
  • Registratie: April 2006
  • Laatst online: 07-10 16:29

DJVG

Gewoon DJVG

Hij laat alleen de bestanden zien die matchen, oftewel geïnfecteerd zijn (als ik het goed begrijp). Als je dus niet geïnfecteerd bent zal grep nergens op matchen en dus niks laten zien.

Edit: Dat text bestand is ook geen applicatie maar gewoon een verzameling regexen om bekende infecties te detecteren.

[ Voor 24% gewijzigd door DJVG op 14-08-2017 16:34 ]

Als iedereen aan zichzelf denkt, word er aan iedereen gedacht!

maandag 14 augustus 2017 16:34

Acties:
  • 0 Henk 'm!
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

ThinClientQ schreef op maandag 14 augustus 2017 @ 16:30:
[...]


Op de afbeelding van onderstaande website staat dat hij elke bestand gaat scannen, maar dit lijkt niet te gebeuren.

https://github.com/gwillem/magento-malware-scanner
Volgens mij laat die afbeelding zien hoe de scan er uit ziet als er malware wordt gevonden. Als een bestand clean is, laat hij niets zien, je ziet een lijst van geinfecteerde bestanden.

Dat kan in jouw geval 2 dingen betekenen:
- je bestanden zijn clean volgens die scanner (mogelijk heb je een probleem wat die scanner niet herkent)
- je scant op de verkeerde lokatie

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

maandag 14 augustus 2017 16:50

Acties:
  • 0 Henk 'm!
  • DanielG
  • Registratie: Oktober 2005
  • Laatst online: 08-09 15:36

DanielG

i = 0x5f3759df - (i>>1); ☠₧ℳ🀪❣

ik zou persoonlijk heel de machine als verloren beschouwen en opnieuw beginnen met een schone instantie ergens anders. Je weet niet hoe diep de malware/backdoor zit waardoor het verwijderen van een paar bestanden in je magento instalatie de aanvaller(s) niet tegenhoudt.

http://xyproblem.info/

maandag 14 augustus 2017 17:07

Acties:
  • 0 Henk 'm!
  • DexterDee
  • Registratie: November 2004
  • Laatst online: 08-10 16:26

DexterDee

I doubt, therefore I might be

DanielG schreef op maandag 14 augustus 2017 @ 16:50:
ik zou persoonlijk heel de machine als verloren beschouwen en opnieuw beginnen met een schone instantie ergens anders. Je weet niet hoe diep de malware/backdoor zit waardoor het verwijderen van een paar bestanden in je magento instalatie de aanvaller(s) niet tegenhoudt.
Dit dus, de "infectie" hoeft helemaal niet in je PHP bestanden te zitten. Advertenties kun je ook via de webserver injecteren of via talloze andere methoden die die Magento malware scanner niet kan zien.

Klik hier om mij een DM te sturen • 3245 WP op ZW

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq