- Ontvangen bedankjes 0
Malware gevonden in Joomla php bestand
- Joop
- Onderwerp Auteur
- Gebruiker
- Een beschrijving moest ik toevoegen, bij deze
Volgens Securitycheck Pro | Malware Scanner, zijn er 2 Malware bestanden gevonden.
Echter het kan ook zijn dat het misschien getriggert wordt op script code, ik heb beide bestanden vervangen voor de zekerheid maar gaf het zelfde resultaat.
/public_html/libraries/vendor/simplepie/simplepie/library/SimplePie/Decode/HTML/Entities.php
Malware-omschrijving
Patroon 29 - Php obfuscated.Gevonden 230 gebeurtenis(sen).Details: Encoded representation of source code, commonly used to hide malware
Malware code gevonden
Regel Undefined
/public_html/libraries/vendor/simplepie/simplepie/library/SimplePie/Misc.php
Malware-omschrijving
Patroon 29 - Php obfuscated.Gevonden 153 gebeurtenis(sen).Details: Encoded representation of source code, commonly used to hide malware
Malware code gevonden
Regel Undefined
- Martijn Maandag
- Admin
- www.reisverslagen.netVertaler van Joomla op crowdin.com/project/joomla-cms.Vertaler van document
www.reisverslagen.net
Vertaler van Joomla op Crowdin .
Vertaler van documentatie en helpschermen via het volunteers.joomla.org/teams/community-translation-te
- Leen
- Gebruiker
- hobbie
- Berichten: 35
- Ontvangen bedankjes 0
alleen wat het doet is de vraag mischien heeft iets met verbergen of onzichtbaar maken van
het email adres is zo. Na wat zoeken vind ook soortgelijk melding bij ook zo vraag iets maar kan dus ook een false positieve melding zijn ?
en als je zoekt Extensies >beheren > en hem daar laat zoeken op simplepie dan komt er niks naar boven
doe ik map andere naam geven blijft ook alles werken zo te zien .
doe ik dan weer joomla core bestanden opnieuw installeren via joomla update dan word hij weer netjes opnieuw
neer gezet .(dus wat en waarom hij bestaat is mij een raadsel)
.
lvda
- Joop
- Onderwerp Auteur
- Gebruiker
- Een beschrijving moest ik toevoegen, bij deze
- Ontvangen bedankjes 0
Ik zie nergens staan dat ik ergens geschreven had extensie ?
Heb alleen maar beschreven "misschien getriggert wordt op script code"
In de laatste download van joomla versie 3.9.28, staat dat er al in zodra men die zip bestand uitpakt. (zie foto)
/libraries/vendor/simplepie/simplepie/library/SimplePie
- Hans van der Meer
- Admin
- Weet soms dingen
- Berichten: 15
- Ontvangen bedankjes 2
The example files you shared are exactly where I would expect to see false positives. These files deal with encryption (all of the files belonging to our software that you shared) or use complex regular expression patterns (the SimplePie ones). This kind of code is very likely to trigger the new patterns by error, i.e. a false positive. However, I am healthily paranoid -if you deal with security some low key paranoia is a very healthy sign- and I don't just mark as safe any file I would expect to throw false positives. This kind of complacency is what gets you hacked.
Sidebar: you wondered, why does the Akeeba Backup file show as both modified and high threat score? You are running your scanning every 24 hours. In those past 24 hours you updated Akeeba Backup and Admin Tools. Their files changed so they are no longer marked as safe. The detection patterns in Admin Tools do report false positives on these (changed) files. So everything is working as expected. Closing this sidebar, this is also an inference and susceptible to complacency. So just keep it in mind as a potential explanation of the observed behavior, not as a gospel. End of sidebar.
What you really need to do is check if the file has changed. If the file has not changed but the threat score got bumped it's a false positive; mark as safe and don't think about it twice. If the file has changed you need to verify it. Compare it to the file that's shipped in the official distribution of the software it belongs to. If the files are identical mark them as safe. If they are not, analyze the contents of the file on disk. Clicking the file in the report will highlight the suspicious parts of the file, letting you see what the PHP File Change Scanner "sees" as a problem on the file.
What you should be doing to avoid this pain in the future is run the detection right before and right after updating a bunch of components. You know that the changed files between those two scans are legitimate - you just installed them. Therefore you can blindly mark as safe all of the changed files with a non-zero threat score in this scenario. This is a safe and easy thing to do on top of your daily scan.
Het is dus een foutieve vondst. Ik kan me niet voorstellen dat een origineel zip-bestand van Joomla malware, vanaf de officiele downloadlocatie, zou kunnen bevatten.
Moderator Joomlacommunity
Mede-organisator JoomlaDagen
ex Team Leader Official Joomla Social Media Team, ex-JUG-organisator & Joostock (RIP) mede-organisator
Eigen site: www.hierbenikthuis.nl
- Joop
- Onderwerp Auteur
- Gebruiker
- Een beschrijving moest ik toevoegen, bij deze
- Ontvangen bedankjes 0
Het is dan navragen of deze "maleware melding" vaker is voorgevallen, dan helemaal niets aangeven. De bewoording "Regel Ongedefinieerd" kan dus de verwijzng zoals er aangeven is hoe de script code geschreven is.
In deze situatie is dat dus een negatieve melding op malware
- Hans van der Meer
- Admin
- Weet soms dingen
- Berichten: 15
- Ontvangen bedankjes 2
Het gaat om het bovenstaande, encryptie of regular expressions gebruiken kan dus door de scanner van Sucuri opgemerkt worden.These files deal with encryption or use complex regular expression patterns (the SimplePie ones). This kind of code is very likely to trigger the new patterns by error, i.e. a false positive.
Het staat ook gewoon duidelijk in de log van Sucuri vermeld, die techniek wordt ook gebruikt om malware te verbergen en dat is de reden waarom het vermeld wordt. Het is het misbruiken van een techniek die normaal nuttig is. In dit soort gevallen is het begrijpen van de melding belangrijk om in te kunnen schatten in hoeverre het een valse positieve is of daadwerkelijk een probleem kan zijn.
Moderator Joomlacommunity
Mede-organisator JoomlaDagen
ex Team Leader Official Joomla Social Media Team, ex-JUG-organisator & Joostock (RIP) mede-organisator
Eigen site: www.hierbenikthuis.nl
- Joop
- Onderwerp Auteur
- Gebruiker
- Een beschrijving moest ik toevoegen, bij deze
- Ontvangen bedankjes 0
Maar goed, deze test resultaat kwam tot stand met Security Check Pro zoals in eerste topic was vermeld.
En zoals in je Citaat, a false positive resultaat.
- Hans van der Meer
- Admin
- Weet soms dingen
- Berichten: 15
- Ontvangen bedankjes 2
Maar in dit geval maakt dat ook niet uit want ik ken Sucuri alleen van hun sitecheck voor een eerste controle op malware.
Moderator Joomlacommunity
Mede-organisator JoomlaDagen
ex Team Leader Official Joomla Social Media Team, ex-JUG-organisator & Joostock (RIP) mede-organisator
Eigen site: www.hierbenikthuis.nl
- Joop
- Onderwerp Auteur
- Gebruiker
- Een beschrijving moest ik toevoegen, bij deze
- Ontvangen bedankjes 0
Meen de tweede topic klik hierOverzetten naar nieuwe hostingpakket blanko pagina