Weitere Informationen und den Download findest du auf der offiziellen Anlaufstelle de.wordpress.org
Ergebnis 1 bis 7 von 7
Like Tree1Likes
  • 1 Post By TmoWizard

Thema: Virus in der Datenbank - was tun?

  1. #1
    PostRank: 2
    Registriert seit
    18.07.2015
    Beiträge
    69

    Virus in der Datenbank - was tun?

    Hallo, ich wollte gerade die Seite eines Freundes von einem anderen Server auf meinen Server umziehen.
    Die Dateien sind schon alle kopiert, nun hatte ich den MySQL-Dumper installiert und wollte das Backup der Datenbank hochladen, um es in meine leere Datenbank einzuspielen.
    Dabei hat mein Serversystem einen Virus entdeckt und den Upload abgebrochen:
    Es wurde versucht, einen Virus auf Ihren Account hochzuladen. Das System hat diesen Upload verhindert. Ein kurzer Auszug aus dem Logfile mit entsprechender IP-Adresse:
    Dec 30 22:12:47 ddxx3x proftpd[9018]: 85.13.596.99 (88.596.9.219[88.596.9.219]) - USER w0048d17: Login successful.
    Dec 30 22:12:49 ddxx3x proftpd[9018]: 85.13.596.99 (88.596.9.219[88.596.9.219]) - mod_clamav/0.11: Virus 'php_obfus_319.UNOFFICIAL' found in '/www/htdocs/w0048d17/ctails.de/msd1.24.4-2/work/backup/db325617_3_2017_12_30_20_23.sql.gz'
    Gibt es irgend eine Möglichkeit, die Datenbank von dem Virus zu bereinigen?
    Was sollte ich jetzt am besten machen?


  2. #2
    r23
    r23 ist offline
    PostRank: 10
    Registriert seit
    09.12.2006
    Beiträge
    3.899
    Zitat Zitat von Robota Beitrag anzeigen
    Gibt es irgend eine Möglichkeit, die Datenbank von dem Virus zu bereinigen?
    einfach auf einem System die db325617_3_2017_12_30_20_23.sql.gz entpacken und bei einem Import in eine MySQL Datenbank den Trojaner / Virus nicht importieren.
    eine neue Datensicherung erstellen und dabei keinen Schadecode sichern.

    Danach den Rechner prüfen und evtl. das Betriebsystem neu installieren.


    Ein Datensatz bei WordPress beinhaltet keinen ausführbaren JavaScripte noch sonstigen ausführe Programme (Perl, PHP... )

    einen guten Filter für gültigen Text in Datensätzen ist htmlpurifier http://htmlpurifier.org/comparison <= auf der Seite sind weitere genannt.. wenn man den Import mit PHP machen möchte.

  3. #3
    PostRank: 10 Avatar von b3317133
    Registriert seit
    21.11.2014
    Beiträge
    2.293
    Wahrscheinlich eine ähnliche "false positive" Meldung wie z.B. hier.

  4. #4
    PostRank: 4 Avatar von TmoWizard
    Registriert seit
    28.04.2010
    Ort
    Augsburg
    Beiträge
    168
    Hallo @Robota,

    teste die erwähnte Datei db325617_3_2017_12_30_20_23.sql.gz doch bitte mal bei VirusTotal. Ich gehe mal davon aus, daß sich der verwendete Virenscanner hier irrt! ClamAV ist hierfür leider sehr bekannt, auch wenn ich ihn ansonsten gerne selbst verwende.

  5. #5
    PostRank: 2
    Registriert seit
    12.12.2015
    Beiträge
    82
    Zitat Zitat von TmoWizard Beitrag anzeigen
    Hallo @Robota,

    teste die erwähnte Datei db325617_3_2017_12_30_20_23.sql.gz doch bitte mal bei VirusTotal. Ich gehe mal davon aus, daß sich der verwendete Virenscanner hier irrt! ClamAV ist hierfür leider sehr bekannt, auch wenn ich ihn ansonsten gerne selbst verwende.
    Dem kann ich nur zustimmen. Bei mir schmeisst ClamWIN Virenmeldungen raus obwohl die Daten schon zig mal überprüft wurden. Leider läuft auf meinem Server nichts Anderes.

  6. #6
    PostRank: 10 Avatar von JABA-Hosting
    Registriert seit
    29.03.2016
    Beiträge
    1.883
    Sorry, aber das hat nicht viel mit clamav zu tun. Wenn Allinkl Inoffizielle Signaturen nimmt, dann arbeitet Clamav nach dem was ihm geliefert wird.

    Dafür ist es kostenlos. Andere Virenscanner verlangen Geld für die Signaturen, dafür werden die auch getestet.

  7. #7
    PostRank: 4 Avatar von TmoWizard
    Registriert seit
    28.04.2010
    Ort
    Augsburg
    Beiträge
    168
    Hallo @JABBA-Hosting!

    Zitat Zitat von JABA-Hosting Beitrag anzeigen
    Sorry, aber das hat nicht viel mit clamav zu tun. Wenn Allinkl Inoffizielle Signaturen nimmt, dann arbeitet Clamav nach dem was ihm geliefert wird.
    Ohne die inoffiziellen Signaturen taugt ClamAV allerdings reichlich wenig, zudem sollte man auch SaveBrowsing von Google ebenfalls als Signaturen verwenden. Außerdem wissen viele Leute gar nicht, daß solche Möglichkeiten bei ClamAV bestehen! Dadurch fällt die Erkennung bei den ganzen Tests auch immer wieder durch, hier wird nämlich immer nur die absolute Minimalkonfiguration genommen.

    Ich habe am 22. Dezember 2011 zu dem Thema mal folgendes Tutorial geschrieben:

    SeaMonkey-Tutorial: Downloads und Mails unter Linux mit ClamAV prüfen

    Aus mir nicht bekannten Gründen ist das seit Jahren der absolute TOP-Artikel auf meinem Blog, obwohl ein Virenscanner ja unter Linux laut verschiedenen Meldungen angeblich mal gar nicht geht. Der Bank darf man das aber bei Onlinebanking nicht sagen, daß man keinen Virenscanner verwendet, bei entsprechenden Problemen "könnten" danach die Probleme erst richtig losgehen! Manche Geldinstitute verlangen nämlich sogar einen Virenscanner, die Stadtsparkasse empfiehlt ihn wenigsten nur.

    Tja, ich habe mit ClamAV einen Virenscanner, auch wenn er nicht unbedingt zu den Besten zählt! Den gröbsten Dreck "phisht" er raus, für den Rest ist eben Gehirnschmalz gefordert.

    Das Problem von ClamAV ist einfach, daß er ursprünglich nur zum Prüfen von E-Mails gedacht war und nicht als "richtiger" Virenscanner. Deswegen wird er ja meistens nur auf entsprechenden Servern verwendet und eher selten auf dem Desktop, der Rest kam ja erst so nach und nach!

    Übrigens:

    ClamAV 0.99.3 beta2 has been released!

    Das wird wohl sehr interessant, ich lasse mich da gerne überraschen! Vor allem hoffe ich, daß mein Add-on clamdrib LIN nanach noch funktioniert.
    Geändert von TmoWizard (03.01.2018 um 14:05 Uhr) Grund: "seid" --> "seit" - Mist, kann auch bei mir mal vorkommen! ;-)
    JABA-Hosting likes this.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •