Wieder Schadecode entdeckt: vom 14.05.2014 21:45 ff.

Alle installationsbezogenen Probleme hier posten. Dies sollte die erste Anlaufstelle bei Problemen sein.
Post Reply
User avatar
kukki
Posts: 1661
Joined: Mon 7. Feb 2005, 20:02
Location: Strausberg bei Berlin
Contact:

Wieder Schadecode entdeckt: vom 14.05.2014 21:45 ff.

Post by kukki » Fri 6. Jun 2014, 09:11

Auf mehreren Server habe ich nach einer Attacke bereits am 14.05.2014 jetzt in einigen Installationen Schadecode entdeckt.
Seit mehreren Tagen versuche ich die ellenlangen Reaktionszeiten einiger Web-Installationen zu ergründen. Gestern bin ich dan fündig geworden, als ich die Files nach Datum sortieren ließ.

In der Regel wird das Root-Verzeichnis in [HTML] auf dem Server betroffen sein und dann werden die Files index.php (linkes Bild) am Ende mit Schadecode versehen und was nicht einfacher zu finden war, die login.php (rechtes Bild) wird mittendrin (je nach Versionsstand ca. ab Zeile 322 ff. bis zum nächsten HTML-Tag < table ...> verändert.

Image Image

Die Verzeichnisse /include und /template wurden aber nicht davon betroffen.
Vgl. auch hier!

Falls jemand diesen Code entdeckt, wäre ich über PN an der Analyse/ Funktion dieser Codezeilen interessiert! 8)
Last edited by kukki on Tue 10. Jun 2014, 10:08, edited 1 time in total.
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.8.7 Beta R544
kukki's SpIeLwIeSe 1.8.7 Beta R544, responsive

User avatar
juergen
Moderator
Posts: 4549
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Re: Wieder Schadecode entdeckt: vom 14.05.2014 21:45 ff.

Post by juergen » Sun 8. Jun 2014, 07:11

Eventuell solltest du bei all deiner Ergründerei auch mal in Erwägung ziehen, einfach mal die Passwörter zu wechseln ? Ich möchte ja deine Forschungen nicht trivial unterbrechen, aber das könnte der Sache auch mal Einhalt gebieten. ;)

User avatar
kukki
Posts: 1661
Joined: Mon 7. Feb 2005, 20:02
Location: Strausberg bei Berlin
Contact:

Re: Wieder Schadecode entdeckt: vom 14.05.2014 21:45 ff.

Post by kukki » Tue 10. Jun 2014, 09:53

Habe ich, alle FTP-Accounts habe ich im Dezember und Januar mit neuen PW versehen, keine Mailware auf meinen PC's, keine Trojaner, meine Fritzbox-Firmware ist auf dem neusten Stand und obwohl eigentlich an dieser Stelle überflüssig, läuft trotzdem noch eine Windows-Firewall mit. Ich denke dabei immer zuerst an mich :mrgreen: .
Das komische ist aber - seit heute früh laufen bis auf zwei Fälle, wo ich per Hand den Schadecode entfernt habe, wieder super schnell und sauber.
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.8.7 Beta R544
kukki's SpIeLwIeSe 1.8.7 Beta R544, responsive

User avatar
tim-j-63
Posts: 2
Joined: Tue 30. Dec 2014, 23:16
Location: Leipzig
Contact:

Re: Wieder Schadecode entdeckt: vom 14.05.2014 21:45 ff.

Post by tim-j-63 » Fri 2. Jan 2015, 11:11

Morgen,

kann es sein dass dein Server, wurde die Installationen liegt nicht auf den neuesten Stand ist? Es muss ja nicht unbedingt phpwcms sein, worüber eingebrochen wurde. Was sagen die Serverlogs, wurden diese Dateien über einen FTP Benutzer bearbeitet? Oder wurden die direkt über ein PHP Skript modifiziert?

Liebe Grüße Tim
|---..........---|

User avatar
Oliver Georgi
Site Admin
Posts: 9450
Joined: Fri 3. Oct 2003, 22:22
Location: Dessau
Contact:

Re: Wieder Schadecode entdeckt: vom 14.05.2014 21:45 ff.

Post by Oliver Georgi » Fri 2. Jan 2015, 14:15

Die oben genannten Injections dürften über Fremdscripte möglich gewesen sein, phpwcms schließe ich aus. In aller Regel zeichnen dafür vergessene WordPress Installationen (siehe im Screenshot $wp_) und ähnliches verantwortlich … oder Passwörter wurden gestohlen.
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Kleintierpraxis am Georgengarten

thoblerone
Posts: 98
Joined: Fri 27. Jan 2006, 23:34
Location: Essen, Germany
Contact:

Re: Wieder Schadecode entdeckt: vom 14.05.2014 21:45 ff.

Post by thoblerone » Fri 9. Jan 2015, 20:42

Ich kann von einem meiner Hoster ein identisches Attackemuster berichten.

Beim Durchgraben der Logfiles ist eindeutig erkennbar, dass die Daten per FTP(!) verändert wurden. Nun sind dann aber gleich viele (auch nicht eigene) Domains auf dem Server gleichartig betroffen gewesen.

Das wahrscheinlichste Szenario ist dass eine DB vom Provider mit diversen Passwörtern gezogen werden konnte, die dann in aller Ruhe entschlüsselt werden konnten. Interessanterweise hört der Spuk schlagartig auf, wenn das FTP Passwort geändert wird. Wenn nicht, ist der Schadcode trotz Reparatur bald wieder auf dem Server.

Ergo: sicherheitshalber ab und zu die Passwörter ändern.

Post Reply