Malware gevonden in Joomla php bestand

Joomla versie 3.9.28


Volgens Securitycheck Pro | Malware Scanner, zijn er 2 Malware bestanden gevonden.

Echter het kan ook zijn dat het misschien getriggert wordt op script code, ik heb beide bestanden vervangen voor de zekerheid maar gaf het zelfde resultaat.

/public_html/libraries/vendor/simplepie/simplepie/library/SimplePie/Decode/HTML/Entities.php

Malware-omschrijving
Patroon 29 - Php obfuscated.Gevonden 230 gebeurtenis(sen).Details: Encoded representation of source code, commonly used to hide malware

Malware code gevonden
Regel Undefined
/public_html/libraries/vendor/simplepie/simplepie/library/SimplePie/Misc.php

Malware-omschrijving
Patroon 29 - Php obfuscated.Gevonden 153 gebeurtenis(sen).Details: Encoded representation of source code, commonly used to hide malware

Malware code gevonden
Regel Undefined

Simplepie is geen extensie die ik nu in de Joomla extensie directory zie. Een hopeloos verouderde extensie die je hebt geïnstalleerd? Extensie dus verwijderen.

de map Simplepie staat wel inderdaad in elke elke Joomla installatie pakket ook in meest recente
alleen wat het doet is de vraag mischien heeft iets met verbergen of onzichtbaar maken van
het email adres is zo. Na wat zoeken vind ook soortgelijk melding bij ook zo vraag iets maar kan dus ook een false positieve melding zijn ?
en als je zoekt Extensies >beheren > en hem daar laat zoeken op simplepie dan komt er niks naar boven
doe ik map andere naam geven blijft ook alles werken zo te zien .
doe ik dan weer joomla core bestanden opnieuw installeren via joomla update dan word hij weer netjes opnieuw
neer gezet .(dus wat en waarom hij bestaat is mij een raadsel)
.

@Martijn Maandag#

Ik zie nergens staan dat ik ergens geschreven had extensie ?

Heb alleen maar beschreven "misschien getriggert wordt op script code"

In de laatste download van joomla versie 3.9.28, staat dat er al in zodra men die zip bestand uitpakt. (zie foto)

/libraries/vendor/simplepie/simplepie/library/SimplePie

Een uitleg van Nicolas hierover:

The example files you shared are exactly where I would expect to see false positives. These files deal with encryption (all of the files belonging to our software that you shared) or use complex regular expression patterns (the SimplePie ones). This kind of code is very likely to trigger the new patterns by error, i.e. a false positive. However, I am healthily paranoid -if you deal with security some low key paranoia is a very healthy sign- and I don't just mark as safe any file I would expect to throw false positives. This kind of complacency is what gets you hacked.

Sidebar: you wondered, why does the Akeeba Backup file show as both modified and high threat score? You are running your scanning every 24 hours. In those past 24 hours you updated Akeeba Backup and Admin Tools. Their files changed so they are no longer marked as safe. The detection patterns in Admin Tools do report false positives on these (changed) files. So everything is working as expected. Closing this sidebar, this is also an inference and susceptible to complacency. So just keep it in mind as a potential explanation of the observed behavior, not as a gospel. End of sidebar.

What you really need to do is check if the file has changed. If the file has not changed but the threat score got bumped it's a false positive; mark as safe and don't think about it twice. If the file has changed you need to verify it. Compare it to the file that's shipped in the official distribution of the software it belongs to. If the files are identical mark them as safe. If they are not, analyze the contents of the file on disk. Clicking the file in the report will highlight the suspicious parts of the file, letting you see what the PHP File Change Scanner "sees" as a problem on the file.

What you should be doing to avoid this pain in the future is run the detection right before and right after updating a bunch of components. You know that the changed files between those two scans are legitimate - you just installed them. Therefore you can blindly mark as safe all of the changed files with a non-zero threat score in this scenario. This is a safe and easy thing to do on top of your daily scan.

Het is dus een foutieve vondst. Ik kan me niet voorstellen dat een origineel zip-bestand van Joomla malware, vanaf de officiele downloadlocatie, zou kunnen bevatten.

Ik kan mij dat dus ook niet voorstellen dat een orgineel zip-bestand van joomla malware bevat, het kan een positieve of negatieve melding zijn wat "getriggert wordt op script code".

Het is dan navragen of deze "maleware melding" vaker is voorgevallen, dan helemaal niets aangeven. De bewoording "Regel Ongedefinieerd" kan dus de verwijzng zoals er aangeven is hoe de script code geschreven is.

In deze situatie is dat dus een negatieve melding op malware

These files deal with encryption or use complex regular expression patterns (the SimplePie ones). This kind of code is very likely to trigger the new patterns by error, i.e. a false positive.

Het gaat om het bovenstaande, encryptie of regular expressions gebruiken kan dus door de scanner van Sucuri opgemerkt worden.

Het staat ook gewoon duidelijk in de log van Sucuri vermeld, die techniek wordt ook gebruikt om malware te verbergen en dat is de reden waarom het vermeld wordt. Het is het misbruiken van een techniek die normaal nuttig is. In dit soort gevallen is het begrijpen van de melding belangrijk om in te kunnen schatten in hoeverre het een valse positieve is of daadwerkelijk een probleem kan zijn.

In een andere topic @Hans staat weer beschreven dat Sucuri niet betrouwbaar is en erg verouderd?

Maar goed, deze test resultaat kwam tot stand met Security Check Pro zoals in eerste topic was vermeld.

En zoals in je Citaat, a false positive resultaat.

"in een ander topic" kan ik niet zoveel mee aangezien ik niet weet waar naar je verwijst.
Maar in dit geval maakt dat ook niet uit want ik ken Sucuri alleen van hun sitecheck voor een eerste controle op malware.

@hans


Meen de tweede topic klik hierOverzetten naar nieuwe hostingpakket blanko pagina