Maleware Schadcode in Shopware

Shopware 5 Allgemein
1

Das 2x wurde (ver.5.3.4 + 5.3.7) nun von meinem Hoster ein Schadcode entdeckt. Habe folgende Mail von denen bekommen um dies zu beheben.

Zusaetzliche Informationen zu den gefundenen Malware-Mustern erhalten Sie in der beigefuegten Text-Datei.

WICHTIG:
Wir setzen bei unseren Routine-Scans Suchmuster und Definitionen ein, welche regelmaessig aktualisiert werden. Wir koennen aber nicht garantieren, dass Dateien oder Applikationen, welche wir nicht melden, frei von jeglichem Risiko sind. Fuer die Wartung und Betreuung der eingesetzten Scripts zustaendig bleibt der Account-Inhaber resp. sein Webmaster.

____________________________________________________________________________

  1. Folgende Dateien enthalten eindeutigen Schadcode:

-rw-r–r-- 1 vitaldo psacln 1276 Feb 15 14:27 /home/httpd/vhosts/vitaldo.ch/httpdocs/var/cache/production_201801171346/html/md/08/51/4bed654c65b6842258e32d5bbea096381d1b7ba725b7aa16a0f2030a7a06

____________________________________________________________________________

  1. Folgende Dateien enthalten als verdaechtig eingestuften Code:

-rw-r–r-- 1 vitaldo psacln 25396 Feb 15 20:14 /home/httpd/vhosts/vitaldo.ch/httpdocs/vendor/symfony/filesystem/Filesystem.php

____________________________________________________________________________

Maleware Details.txt
‚/home/httpd/vhosts/vitaldo.ch/httpdocs/var/cache/production_201801171346/html/md/08/51/4bed654c65b6842258e32d5bbea096381d1b7ba725b7aa16a0f2030a7a06‘

Known exploit = [Fingerprint Match] [PHP REQUEST Exploit [P0007]]

‚/home/httpd/vhosts/vitaldo.ch/httpdocs/vendor/symfony/filesystem/Filesystem.php‘

Regular expression match = [symlink\s*(]

Kann mir jemand sagen warum dies so ist und ob man das Problem für zukünftige Maleware Scans durch den Domain Hoster beheben kann.

2

Schau Dir doch mal die Dateien an! Vor allem natürlich die Filesystem.php! Am besten mal mit einer originalen Fielsystem.php vergleichen. Die Cache Files sind ja nicht so wichtig, denn die kann man schnell löschen…

1 „Gefällt mir“
3

Stell mal die Filesystem.php auf https://pastebin.com/. Würde mich auch mal interessieren…

1 „Gefällt mir“
4

@jonathan schrieb:

Stell mal die Filesystem.php auf https://pastebin.com/. Würde mich auch mal interessieren…

Habe das File mal auf pastebin.com geladen.

Name: Vitaldo Filesystem.php

5

Schick mal die Adresse. Sonst findet man es nicht :wink: LG

6

@jonathan schrieb:

Schick mal die Adresse. Sonst findet man es nicht :wink: LG

Danke LG

7

Ich finde da jetzt nichts böses drin. Ggf. nutzt irgendein Schadcode ein vergleichbares Codepattern und es ist daher ein False-Positive. Aber ohne Gewähr :slight_smile: LG

1 „Gefällt mir“
8

Hallo,

vielen Dank für das Posten des Inhalts. Es handelt sich dabei um eine Datei aus dem Symfony Framework.

Ich kann da aber nichts verdächtiges finden. Ich vermute eher, dass das Tool bei deinem Hoster diese aufgerundet gewisser Strukturen anmeckert, aber nichts an Schadcode vorhanden ist in der Datei. Ggf. müsste da der Hoster die Routine anpassen. So sieht das zum aktuellen Zeitpunkt für mich aus. 

Zum Vergleich auch einmal die offiziellen Sourcen von Symfony https://github.com/symfony/filesystem/blob/2.8/Filesystem.php

Ich konnte im Netz ähnliche Fälle finden, wo diese oder ähnliche Dateien beim Scannen aufgefallen sind, welche aber völlig in Ordnung waren.

Zu deiner Cache Datei kann ich so nichts sagen.

Grundsätzlich kann es aber passieren, dass ein Virus oder ähnliches FTP Daten vom PC ausspähen kann und dann Dateien auf dem Server modifiziert bzw. infiziert. 

In diesem Fall sieht es aktuell aber nicht danach aus

VG

Sebastian

1 „Gefällt mir“
9

Hallo,

Danke für eure Rückmeldungen.

Habe nun vom Domain-Hoster nach diversen Abklärungen folgende Antwort erhalten:

Es handelt sich bei den gemeldeten Malwarefällen scheinbar nicht um wirklich im Malware sondern um cache-Dateien in denen wohl Schadcode durch externe Zugriffe vorkommt. Leider konnten wir den Schadcode selbst nicht mehr anschauen, weil sie ihn bereits bereinigt haben. Bitte geben Sie uns beim nächsten mal Bescheid, dann schauen wir uns die Datei genauer an.
Die Datei /home/httpd/vhosts/vitaldo.ch/httpdocs/vendor/symfony/filesystem/Filesystem.php enthält keinen Schadcode und wird in die Ausnahmen aufgenommen, so dass sie nicht mehr als Malware erkannt wird.

LG
Björn