Typo3 6.0.4 - Virus in Datei in /typo3temp/compressor/

  • Thorsten1508 Thorsten1...
    Padawan
    0 x
    47 Beiträge
    0 Hilfreiche Beiträge
    12. 06. 2013, 10:55

    Hallo zusammen,
    unser Provider hat uns mitgeteilt, dass wir Viren auf dem Server hätten und nannte uns die entsprechenden Dateien, die vom Virensv´canner schon umbenannt und mit geringen Zugriffsrechten versehen wurden.

    Es handelt sich um einige .js-Dateien im Verzeichnis /typo3temp/compressor/.

    Ich habe eine Datei per Online-Scan prüfen lassen. Das Ergebnis kann hier eingesehen werden
    [url=]
    https://www.virustotal.com/de/file/aa5a537cc8d318651ad6a45cc254ada248243b81e59ba861e39edd7480a53067/analysis/1371024236/
    [/url]

    Ein Scanner erkannte diesen netten Freund: HTML.Exploit.CVE_2013_3120

    Keine Ahnung was das ist und wo das herkommt.

    Zur Info:
    Das System ist Typo3 6.0.4. Bisher noch keine Extensions installiert. Das System ist eigentlich nur aufgesetzt und ein paar Inhalte wurden eingepflegt. Ein Fremdzugriff ist auszuschließen, da das System in einem Unterverzeichnis läuft und niemandem bekannt sein dürfte.

    Hat irgendjemand schon ähnliche Erfahrungen gemacht und kann nen Hinweis geben was da falsch läuft.

    Vielen Dank


  • 1
  • Matreo Matreo
    Typ im Roten Hemd
    0 x
    3 Beiträge
    0 Hilfreiche Beiträge
    12. 06. 2013, 11:05

    Habe die selbe Mail vom Provider (all-inkl) bekommen. Allerdings bei einer 4.7 Installation.

    Kann es sich dabei um eine Falschmeldung handeln?

  • Thorsten1508 Thorsten1...
    Padawan
    0 x
    47 Beiträge
    0 Hilfreiche Beiträge
    12. 06. 2013, 11:20

    Bei mir ist es auch all-inkl. Ich habe denen ne Mail mit Infos und Fragen geschrieben. Wenn ich was erfahre, schreib ich es hier rein. Bei mir war es eine automatische Installation die ja all-inkl anbietet.

    Gruß,
    Thorsten

  • Tom69 Tom69
    Jar Jar Binks
    0 x
    1 Beiträge
    0 Hilfreiche Beiträge
    13. 06. 2013, 08:05

    Habe das gleiche Problem bei verschiedenen TYPO3 Installationen (6.0 und 4.7).
    Hatte eine Sicherungskopie einer TYPO3-Installation seit einigen Monaten auf meiner Festplatte abgelegt, bei der der Virenscanner bislang nie Auffälligkeiten bemerkte. Als ich den Ordner gestern mit aktuellen Virendefinitionen (ClamAV) gescannt habe, wurde plötzlich auch hier HTML.Exploit.CVE_2013_3120 in etlichen .js-Dateien im Verzeichnis /typo3temp/compressor/ gefunden...
    Sind da eventuell falsche Virendefinitionen im Umlauf oder handelt es sich dabei tatsächlich um ein Virenproblem?
    Hoffe sehr, dass sich das bald aufklären lässt!

  • poomer poomer
    TYPO3-Anwärter
    0 x
    4 Beiträge
    0 Hilfreiche Beiträge
    13. 06. 2013, 10:08

    Guten Morgen,

    hat von euch schon jemand etwas herausgefunden. Habe genau die gleiche Email von All-inkl mit den selben Problem erhalten?

    bei mir sind es ca 50 solcher HTML.Exploid.CVE dateien im compressed Ordner

    gruss
    Stefan

  • Jens_123456 Jens_1234...
    Jar Jar Binks
    0 x
    1 Beiträge
    0 Hilfreiche Beiträge
    13. 06. 2013, 10:52

    Hallo,

    bei einem Kunden von uns ebenso.
    Hoster: all-inkl
    Typo 4.7.10

    Grüße, Jens

  • Thorsten1508 Thorsten1...
    Padawan
    0 x
    47 Beiträge
    0 Hilfreiche Beiträge
    13. 06. 2013, 14:52

    Hallo zusammen,
    na da bin ich ja nicht alleine mit dem Problem.

    Also Info von all-inkl:
    Sie haben díesen Virus zunächst auf die interne Whitelist gesetzt, da sie einen falschen Treffer vermuten.

    Weiterhin wurde dies beim Hersteller gemeldet.

    Grüße

  • 1