Wieder Schadecode entdeckt: vom 14.05.2014 21:45 ff.

[kukki]

Auf mehreren Server habe ich nach einer Attacke bereits am 14.05.2014 jetzt in einigen Installationen Schadecode entdeckt.
Seit mehreren Tagen versuche ich die ellenlangen Reaktionszeiten einiger Web-Installationen zu ergründen. Gestern bin ich dan fündig geworden, als ich die Files nach Datum sortieren ließ.

In der Regel wird das Root-Verzeichnis in [HTML] auf dem Server betroffen sein und dann werden die Files index.php (linkes Bild) am Ende mit Schadecode versehen und was nicht einfacher zu finden war, die login.php (rechtes Bild) wird mittendrin (je nach Versionsstand ca. ab Zeile 322 ff. bis zum nächsten HTML-Tag < table ...> verändert.



Die Verzeichnisse /include und /template wurden aber nicht davon betroffen.
Vgl. auch hier!

Falls jemand diesen Code entdeckt, wäre ich über PN an der Analyse/ Funktion dieser Codezeilen interessiert!

[juergen]

Eventuell solltest du bei all deiner Ergründerei auch mal in Erwägung ziehen, einfach mal die Passwörter zu wechseln ? Ich möchte ja deine Forschungen nicht trivial unterbrechen, aber das könnte der Sache auch mal Einhalt gebieten.

[kukki]

Habe ich, alle FTP-Accounts habe ich im Dezember und Januar mit neuen PW versehen, keine Mailware auf meinen PC's, keine Trojaner, meine Fritzbox-Firmware ist auf dem neusten Stand und obwohl eigentlich an dieser Stelle überflüssig, läuft trotzdem noch eine Windows-Firewall mit. Ich denke dabei immer zuerst an mich .
Das komische ist aber - seit heute früh laufen bis auf zwei Fälle, wo ich per Hand den Schadecode entfernt habe, wieder super schnell und sauber.

[tim-j-63]

Morgen,

kann es sein dass dein Server, wurde die Installationen liegt nicht auf den neuesten Stand ist? Es muss ja nicht unbedingt phpwcms sein, worüber eingebrochen wurde. Was sagen die Serverlogs, wurden diese Dateien über einen FTP Benutzer bearbeitet? Oder wurden die direkt über ein PHP Skript modifiziert?

Liebe Grüße Tim

[Oliver Georgi]

Die oben genannten Injections dürften über Fremdscripte möglich gewesen sein, phpwcms schließe ich aus. In aller Regel zeichnen dafür vergessene WordPress Installationen (siehe im Screenshot $wp_) und ähnliches verantwortlich … oder Passwörter wurden gestohlen.

[thoblerone]

Ich kann von einem meiner Hoster ein identisches Attackemuster berichten.

Beim Durchgraben der Logfiles ist eindeutig erkennbar, dass die Daten per FTP(!) verändert wurden. Nun sind dann aber gleich viele (auch nicht eigene) Domains auf dem Server gleichartig betroffen gewesen.

Das wahrscheinlichste Szenario ist dass eine DB vom Provider mit diversen Passwörtern gezogen werden konnte, die dann in aller Ruhe entschlüsselt werden konnten. Interessanterweise hört der Spuk schlagartig auf, wenn das FTP Passwort geändert wird. Wenn nicht, ist der Schadcode trotz Reparatur bald wieder auf dem Server.

Ergo: sicherheitshalber ab und zu die Passwörter ändern.