Malware gevonden in Joomla php bestand

  • Joop
  • Onderwerp Auteur
  • Gebruiker
  • Gebruiker
  • Een beschrijving moest ik toevoegen, bij deze
Meer
11 jul 2021 00:23 #22956 door Joop
Joomla versie 3.9.28


Volgens Securitycheck Pro | Malware Scanner, zijn er 2 Malware bestanden gevonden.

Echter het kan ook zijn dat het misschien getriggert wordt op script code, ik heb beide bestanden vervangen voor de zekerheid maar gaf het zelfde resultaat.

/public_html/libraries/vendor/simplepie/simplepie/library/SimplePie/Decode/HTML/Entities.php

Malware-omschrijving
Patroon 29 - Php obfuscated.Gevonden 230 gebeurtenis(sen).Details: Encoded representation of source code, commonly used to hide malware

Malware code gevonden
Regel Undefined
/public_html/libraries/vendor/simplepie/simplepie/library/SimplePie/Misc.php

Malware-omschrijving
Patroon 29 - Php obfuscated.Gevonden 153 gebeurtenis(sen).Details: Encoded representation of source code, commonly used to hide malware

Malware code gevonden
Regel Undefined

Onderwerp is gesloten.
  • Martijn Maandag
  • Admin
  • Admin
  • www.reisverslagen.netVertaler van Joomla op crowdin.com/project/joomla-cms.Vertaler van document
Meer
11 jul 2021 11:25 #22957 door Martijn Maandag
Beantwoord door Martijn Maandag in topic Malware gevonden in Joomla php bestand
Simplepie is geen extensie die ik nu in de Joomla extensie directory zie. Een hopeloos verouderde extensie die je hebt geïnstalleerd? Extensie dus verwijderen.

www.reisverslagen.net
Vertaler van Joomla op Crowdin .
Vertaler van documentatie en helpschermen via het volunteers.joomla.org/teams/community-translation-te
Onderwerp is gesloten.
  • Leen
  • Gebruiker
  • Gebruiker
  • hobbie
Meer
11 jul 2021 12:28 #22959 door Leen
Beantwoord door Leen in topic Malware gevonden in Joomla php bestand
de map Simplepie staat wel inderdaad in elke elke Joomla installatie pakket ook in meest recente
alleen wat het doet is de vraag mischien heeft iets met verbergen of onzichtbaar maken van
het email adres is zo. Na wat zoeken vind ook soortgelijk melding bij ook zo vraag iets maar kan dus ook een false positieve melding zijn ?
en als je zoekt Extensies >beheren > en hem daar laat zoeken op simplepie dan komt er niks naar boven
doe ik map andere naam geven blijft ook alles werken zo te zien .
doe ik dan weer joomla core bestanden opnieuw installeren via joomla update dan word hij weer netjes opnieuw
neer gezet .(dus wat en waarom hij bestaat is mij een raadsel)
.

lvda
Bijlagen:
Onderwerp is gesloten.
  • Joop
  • Onderwerp Auteur
  • Gebruiker
  • Gebruiker
  • Een beschrijving moest ik toevoegen, bij deze
Meer
11 jul 2021 12:44 #22960 door Joop
Beantwoord door Joop in topic Malware gevonden in Joomla php bestand
@Martijn Maandag#

Ik zie nergens staan dat ik ergens geschreven had extensie ?

Heb alleen maar beschreven "misschien getriggert wordt op script code"

In de laatste download van joomla versie 3.9.28, staat dat er al in zodra men die zip bestand uitpakt. (zie foto)

/libraries/vendor/simplepie/simplepie/library/SimplePie


Bijlagen:
Onderwerp is gesloten.
  • Hans van der Meer
  • Admin
  • Admin
  • Weet soms dingen
Meer
11 jul 2021 19:30 #22963 door Hans van der Meer
Beantwoord door Hans van der Meer in topic Malware gevonden in Joomla php bestand
Een uitleg van Nicolas hierover:

The example files you shared are exactly where I would expect to see false positives. These files deal with encryption (all of the files belonging to our software that you shared) or use complex regular expression patterns (the SimplePie ones). This kind of code is very likely to trigger the new patterns by error, i.e. a false positive. However, I am healthily paranoid -if you deal with security some low key paranoia is a very healthy sign- and I don't just mark as safe any file I would expect to throw false positives. This kind of complacency is what gets you hacked.

Sidebar: you wondered, why does the Akeeba Backup file show as both modified and high threat score? You are running your scanning every 24 hours. In those past 24 hours you updated Akeeba Backup and Admin Tools. Their files changed so they are no longer marked as safe. The detection patterns in Admin Tools do report false positives on these (changed) files. So everything is working as expected. Closing this sidebar, this is also an inference and susceptible to complacency. So just keep it in mind as a potential explanation of the observed behavior, not as a gospel. End of sidebar.

What you really need to do is check if the file has changed. If the file has not changed but the threat score got bumped it's a false positive; mark as safe and don't think about it twice. If the file has changed you need to verify it. Compare it to the file that's shipped in the official distribution of the software it belongs to. If the files are identical mark them as safe. If they are not, analyze the contents of the file on disk. Clicking the file in the report will highlight the suspicious parts of the file, letting you see what the PHP File Change Scanner "sees" as a problem on the file.

What you should be doing to avoid this pain in the future is run the detection right before and right after updating a bunch of components. You know that the changed files between those two scans are legitimate - you just installed them. Therefore you can blindly mark as safe all of the changed files with a non-zero threat score in this scenario. This is a safe and easy thing to do on top of your daily scan.


Het is dus een foutieve vondst. Ik kan me niet voorstellen dat een origineel zip-bestand van Joomla malware, vanaf de officiele downloadlocatie, zou kunnen bevatten.

Moderator Joomlacommunity
Mede-organisator JoomlaDagen
ex Team Leader Official Joomla Social Media Team, ex-JUG-organisator & Joostock (RIP) mede-organisator
Eigen site: www.hierbenikthuis.nl
Onderwerp is gesloten.
  • Joop
  • Onderwerp Auteur
  • Gebruiker
  • Gebruiker
  • Een beschrijving moest ik toevoegen, bij deze
Meer
12 jul 2021 10:16 #22964 door Joop
Beantwoord door Joop in topic Malware gevonden in Joomla php bestand
Ik kan mij dat dus ook niet voorstellen dat een orgineel zip-bestand van joomla malware bevat, het kan een positieve of negatieve melding zijn wat "getriggert wordt op script code".

Het is dan navragen of deze "maleware melding" vaker is voorgevallen, dan helemaal niets aangeven. De bewoording "Regel Ongedefinieerd" kan dus de verwijzng zoals er aangeven is hoe de script code geschreven is.

In deze situatie is dat dus een negatieve melding op malware
Onderwerp is gesloten.
  • Hans van der Meer
  • Admin
  • Admin
  • Weet soms dingen
Meer
12 jul 2021 14:48 #22966 door Hans van der Meer
Beantwoord door Hans van der Meer in topic Malware gevonden in Joomla php bestand

These files deal with encryption or use complex regular expression patterns (the SimplePie ones). This kind of code is very likely to trigger the new patterns by error, i.e. a false positive.

Het gaat om het bovenstaande, encryptie of regular expressions gebruiken kan dus door de scanner van Sucuri opgemerkt worden.

Het staat ook gewoon duidelijk in de log van Sucuri vermeld, die techniek wordt ook gebruikt om malware te verbergen en dat is de reden waarom het vermeld wordt. Het is het misbruiken van een techniek die normaal nuttig is. In dit soort gevallen is het begrijpen van de melding belangrijk om in te kunnen schatten in hoeverre het een valse positieve is of daadwerkelijk een probleem kan zijn.

Moderator Joomlacommunity
Mede-organisator JoomlaDagen
ex Team Leader Official Joomla Social Media Team, ex-JUG-organisator & Joostock (RIP) mede-organisator
Eigen site: www.hierbenikthuis.nl
Onderwerp is gesloten.
  • Joop
  • Onderwerp Auteur
  • Gebruiker
  • Gebruiker
  • Een beschrijving moest ik toevoegen, bij deze
Meer
12 jul 2021 17:48 #22967 door Joop
Beantwoord door Joop in topic Malware gevonden in Joomla php bestand
In een andere topic @Hans staat weer beschreven dat Sucuri niet betrouwbaar is en erg verouderd?

Maar goed, deze test resultaat kwam tot stand met Security Check Pro zoals in eerste topic was vermeld.

En zoals in je Citaat, a false positive resultaat.


Onderwerp is gesloten.
  • Hans van der Meer
  • Admin
  • Admin
  • Weet soms dingen
Meer
13 jul 2021 04:51 #22970 door Hans van der Meer
Beantwoord door Hans van der Meer in topic Malware gevonden in Joomla php bestand
"in een ander topic" kan ik niet zoveel mee aangezien ik niet weet waar naar je verwijst.
Maar in dit geval maakt dat ook niet uit want ik ken Sucuri alleen van hun sitecheck voor een eerste controle op malware.

Moderator Joomlacommunity
Mede-organisator JoomlaDagen
ex Team Leader Official Joomla Social Media Team, ex-JUG-organisator & Joostock (RIP) mede-organisator
Eigen site: www.hierbenikthuis.nl
Onderwerp is gesloten.
  • Joop
  • Onderwerp Auteur
  • Gebruiker
  • Gebruiker
  • Een beschrijving moest ik toevoegen, bij deze
Meer
13 jul 2021 11:20 #22971 door Joop
Beantwoord door Joop in topic Malware gevonden in Joomla php bestand
@hans


Meen de tweede topic klik hierOverzetten naar nieuwe hostingpakket blanko pagina
Onderwerp is gesloten.
Gemaakt door Kunena