Verdächtige Crontab-Einträge

Die Datenbank weist verdächtige Crontab-Einträge auf.

Bitte beachten Sie: Die Informationen in diesem Artikel beziehen sich ausschließlich auf unser Tool ShopSecurity, mit dem Sie Ihre Shop-Installationen hinsichtlich bekannter und potenzieller Sicherheitslücken prüfen können.

Unsere Empfehlung

Wir empfehlen, einen (potenziell) mit Malware infizierten Shop durch erfahrene Entwickler:innen oder Sicherheitsfirmen prüfen zu lassen.

Seit 2021 kommt es vermehrt vor, dass Malware nicht nur im Dateisystem abgelegt wird, sondern sich innerhalb der Crontab versteckt. Die Crontab ist die systeminterne Liste aller Cronjobs, also der im Hintergrund regelmäßig ausgeführten Prozesse. Auf diese Weise versucht die Malware gängigen Scannern und der menschlichen Kontrolle zu entgehen, weil dabei oft nur das Dateisystem geprüft wird.
Der Schadcode selbst ist dabei in der Crontab nicht unbedingt sofort erkennbar, denn es werden Verschleierungstaktiken verwendet.
Weitere Details (auf Englisch) zu Crontab-Malware bietet auch unser Partner Sansec.

Wenn bei Ihnen entsprechende Einträge gefunden wurden, ist die Wahrscheinlichkeit, dass sich noch weitere Malware in Ihrem Cluster befindet, sehr hoch. Wir empfehlen daher in jedem Fall alle Anwendungen und Datenbanken auf dem Cluster vollständig zu überprüfen.

Malware-Cronjobs sorgen in der Regel dafür, dass immer ein Malware-Prozess im Cluster läuft. Daher sollten zusätzlich alle laufenden Prozesse geprüft werden.

Lösung: Prüfung der Crontab

Den Inhalt der Crontab können Sie in einer SSH-Konsole mit dem Befehl crontab -e bearbeiten.

Zusätzlich zeigt Ihnen das Managed Center des Clusters unter Cronjobs alle aktiven Cronjobs an.

Cronjobs, welche nicht von Ihnen angelegt wurden, sollten in jedem Fall gelöscht werden. Falls Sie unsicher sind, deaktivieren Sie einen verdächtigen Cronjob und beziehen dann ggf. Ihre Agentur oder unseren Support mit ein.

Zusätzlich empfiehlt es sich, die laufenden Prozesse des Clusters zu prüfen ‒ der Cronjob kann bei seiner letzten Ausführung einen Prozess gestartet haben, welche ebenfalls beendet werden sollten.

Weitere Handlungsempfehlungen

Bitte prüfen Sie auch unsere allgemeinen Malware-Empfehlungen.

 

Bei Fragen steht Ihnen unser Support telefonisch unter 05251/414130 oder per E-Mail an support@maxcluster.de zur Verfügung.

Veröffentlicht am 05.06.2024