Seltsame Files in der Grundinstallation

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
rombs
Posts: 77
Joined: Mon May 26, 2008 7:03 am
Location: Switzerland

Seltsame Files in der Grundinstallation

Post by rombs » Fri May 25, 2012 2:32 pm

Hallo zusammen
Installation XH 1.5.3, Sonderplugins ayaxfilemanager, hi_fancybox, encmail, keine mehrsprachige Installation.
Nach dem Einbinden des multimedia_XH_11 Plugins ist folgendes passiert:
- Das Medium lässt sich abspielen und funktioniert.
- nach 15 Minuten ist die ganze Website blockiert, keine Links gehen mehr.

Deshalb Neuinstallation
In /cmsimple/language entstehen neue Dateien wie
jsconfig.php
js.php
spamspan.jsconfig.php
spamspan.js.php

In der abgeschossenen Installation waren Dateien wie
jquery.mousewheel-3.0.4.pack.jsconfig.php
jquery.fancybox-1.3.4.pack.jsconfig.php

Die Inhalte entsprechen den Dateien de.php und deconfig.php
Dateiupload mache ich mit FileZilla, arbeite eigentlich sauber und habe keine anderen php-Installionen auf dem Server. Das ganze wirkt aber wie ein verborgenes Script, aber woher? Die log.txt zeigt nur meine IP an. Habe vorsorglich den Ordner mal auf 0555 gesetzt, mache aber eher einen Blindflug. Aktuell läuft die Site wieder und ist auch normal bedienbar.
Kennt jemand das Verhalten?
Grüsse Rolf
Grüsse aus der Schweiz
Rolf

Gert
Posts: 3078
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: Seltsame Files in der Grundinstallation

Post by Gert » Fri May 25, 2012 2:58 pm

Hallo Rolf,

im Download von MultiMedia_XH 1.1 ist nix drin, was da nicht rein gehört, das habe ich gerade noch einmal gecheckt.

Wenn Du oder Dein ftp Programm nix falsch gemacht haben, hast Du Dir wohl was eingefangen auf Deinem Webserver. Ich würde erst einmal alle Zugangsdaten (Account und ftp) ändern,

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: Seltsame Files in der Grundinstallation

Post by cmb » Fri May 25, 2012 3:02 pm

Hallo Rolf,
rombs wrote:In /cmsimple/language entstehen neue Dateien wie
jsconfig.php
js.php
spamspan.jsconfig.php
spamspan.js.php
Diese könnten durchaus von CMSimple_XH angelegt worden sein. Zumindest passiert so etwas bei Subsites: wenn Du den Ordner 2site/ kopierst und ihn js/ nennst, würde CMSimple_XH beim Zugriff auf http://www.example.com/js/ die ersten beiden im genannten Ordner erstellen. Es wären dann bei einer deutschen Hauptinstallation Kopien von de.php bzw. deconfig.php. Das sollte aber nur passieren, wenn es (a) diesen Ordner (z.B. js/) gibt, (b) dort eine index.php liegt, die cmsimple/cms.php includiert, (c) dort ebenfalls eine Datei cmsimplesubsite.htm liegt (beim Ordner js/ nicht erforderlich, aber bei den anderen schon), und (d) Du oder sonst jemand dann auch den entsprechenden Ordner im Browser aufgerufen hast.

Übrigens: Ordner mit zwei Buchstaben (z.B. js/) sollten im Installationsverzeichnis von CMSimple grundsätzlich vermieden werden (sie würden sonst als Zweitsprache interpretiert).

Was nun genau passiert ist, weiß ich (noch) nicht, aber ich bin mir ziemlich sicher, dass es sich nicht um Malware handelt, sondern das da irgendwie das Subsite-Feature ausgelöst wurde.

Christoph
Christoph M. Becker – Plugins for CMSimple_XH

rombs
Posts: 77
Joined: Mon May 26, 2008 7:03 am
Location: Switzerland

Re: Seltsame Files in der Grundinstallation

Post by rombs » Fri May 25, 2012 3:28 pm

Hallo zusammen
@Gert: Passwörter habe ich sofort geändert.
@Christoph: die betroffene Installation hat und hatte keine Unterseiten, nur Deutsch, auch keine anderen Ordner als die Grundinstallation und die Plugins mitbringen.
Habe nun noch einmal alles jungfräuliche Installationsordner cms und plugins verwendet, dank der Dateirechteveränderung von /language auch (noch) keine Veränderungen festgestellt. Auch habe ich alle 'faschen' Dateien gelöscht.
Nun habe ich kurz die Dateirechte von /language auf 0755 gesetzt und ein Klick auf irgend einen Link auf der Site generiert im Ordner die beiden Dateien
jsconfig.php
js.php
Das Verhalten ist reproduzierbar.
Grüsse aus der Schweiz
Rolf

Gert
Posts: 3078
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: Seltsame Files in der Grundinstallation

Post by Gert » Fri May 25, 2012 3:40 pm

Hallo Rolf,

hast Du zip files im CMSimpleRoot liegen?

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services

rombs
Posts: 77
Joined: Mon May 26, 2008 7:03 am
Location: Switzerland

Re: Seltsame Files in der Grundinstallation

Post by rombs » Fri May 25, 2012 3:41 pm

nein
Rolf
Grüsse aus der Schweiz
Rolf

Gert
Posts: 3078
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: Seltsame Files in der Grundinstallation

Post by Gert » Fri May 25, 2012 3:45 pm

Hm. Wie heisst der Pfad zur Installation, ab der Domain?
Gert Ebersbach | CMSimple | Templates - Plugins - Services

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: Seltsame Files in der Grundinstallation

Post by cmb » Fri May 25, 2012 3:47 pm

rombs wrote:Nun habe ich kurz die Dateirechte von /language auf 0755 gesetzt und ein Klick auf irgend einen Link auf der Site generiert im Ordner die beiden Dateien
Das passiert z.B., wenn man CMSimple_XH 1.5.3 in einem Unterordner des Webroot namens js/ installiert. Allerdings werden dann auch einige Fehler gemeldet, so dass das bei Dir vermutlich nicht der Fall ist (außerdem würde das nicht die anderen Dateien wie z.B. spamspan.jsconfig.php erklären).
cmb wrote:Es wären dann bei einer deutschen Hauptinstallation Kopien von de.php bzw. deconfig.php.
Diese Info war falsch. Es wären Kopien von default.php bzw. defaultconfig.php, die normalerweise englisch sind.

Ich tippe noch immer darauf, dass es was mit $sl zu tun hat, aber erklären kann ich es mir nicht...
Christoph M. Becker – Plugins for CMSimple_XH

rombs
Posts: 77
Joined: Mon May 26, 2008 7:03 am
Location: Switzerland

Re: Seltsame Files in der Grundinstallation

Post by rombs » Fri May 25, 2012 3:54 pm

@Gert:
der Pfad lautet aktuell
/public_html/cmsimplexh153
und war vorher
/public_html/cms oder
/public_html/cms2
@Christoph:
richtig, die Dateien sind Englisch.

Ich lass zwischenzeitlich mal klären ob wer oder was Zugriff auf meine Webserver genommen hat. Grüsse Rolf
Grüsse aus der Schweiz
Rolf

Gert
Posts: 3078
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: Seltsame Files in der Grundinstallation

Post by Gert » Fri May 25, 2012 4:05 pm

Hallo Rolf,

versuche es mal ohne fancybox und encmail. Das sind JavaScript basierte Programme, also gibt es da die .js Dateien mit dem Namen der Dateien, die Du genannt hast.

Ich vermute, dass die spamspan.js aus encmail kommt, weiss es aber nicht,

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services

Post Reply