21. April 2008

Am Rande

Die Geschichte einer HTML-Injektion

Ein Besucher machte meinen Kunden auf eine Viren-Meldung auf seiner Seite aufmerksam – eine WordPress-Seite auf einem Unix-Server. Alleine einen Virenscanner für einen Unix-Server zu finden hat ein paar Stunden in Zeit genommen, Installation und Scan des gesamten Servers waren noch ein paar Stunden not just for fun.

Der Scan mit einer AV-Software für Unix lieferte

/…/httpdocs/wp-content/index.php: JS.Agent-2 FOUND
/…/httpsdocs/index.html: JS.Agent-2 FOUND

Gefunden hat der Virenscanner zwei infizierte Dateien: eine index.php im Verzeichnis wp-content und eine Datei index.html im httpdocs-Verzeichnis (das nicht genutzt wird). Eine manuelle Suche in den Verzeichnissen brachte darüber hinaus weitere index.php- und login.php-Dateien in wp-admin und dem ebenfalls installieren Coppermine zutage (mannomann … da hat sich jemand ausgekannt).

In einem Script-Tag sitzt ein codierter Text, der wohl ein iFrame erzeugt. Das iFrame-Tag soll den Besucher im Hintergrund auf eine Seite leiten, die dann den Malware-Cocktail auf den Rechner des Besuchers herunterlädt, z.B. eine ntos.exe-Variante(zbot). So eine Ntos.exe wird nach der Aktivierung u.U. nicht mehr durch Antivirenprogramme gefunden. Der Trojaner soll Informationen über den befallenen Rechner weiterleiten.

So ungefähr sieht das iFrame aus, das in den infizierten Dateien saß:

</iframe><script>function … document.write(…’));</script>
(gekürzte Fassung …)

Das message-Log des Servers zeigt einen FTP-Zugriff am Morgen des Tages, an dem der Virus entdeckt wurde.

Apr 13 05:26:05 xxx proftpd[32728]: xxx (77.221.133.186[77.221.133.186]) – FTP session opened.
Apr 13 05:26:05 xxx proftpd[32728]: xxx (77.221.133.186[77.221.133.186]) – mod_delay/0.5: delaying for 18 usecs
Apr 13 05:26:05 xxx proftpd[32728]: 11media.net (77.221.133.186[77.221.133.186]) – USER feuerwehr: Login successful.

Oh, wenn ich meinem Kunden nicht so sehr trauen würde, würde ich jetzt denken, dass einer der Redakteure die FTP-Zugangsdaten nach St. Petersburg geschickt hat, denn um 5 Uhr ist keiner von denen aufgestanden, um die Seiten mit einer HTML-Injection zu impfen.

Die IP kommt tatsächlich aus Mütterchen Russland

77.221.128.0 – 77.221.143.255
Infobox Abuse Manager
address: 29, Viborgskaya nab.,
address: 198215 Saint Petersburg, Russia

Wie der Angreifer an die Daten für den FTP-Zugang gekommen ist, ist uns allen ein Rätsel. Ein infizierter PC? Unsachsamkeit mit den Zugangsdaten? Es sieht so aus, als wäre ein PC beim Kunden bereits voll in den Händen des Trojaners und seiner Folgen.

Ich habe jetzt erst mal Terry Pratchet zur Seite gelegt („Schöne Scheine“) und lese jetzt lieber Logdateien.

Artikel über die Sicherheit von Unix-Systemen

Virenscanner für Unix
clamav
F-Prot

   

video-und-streaming-server.png

Material zur Vorlesung »Video im Internet: Streaming Server«

logo-farbe-wisotop.png

Material zur Vorlesung Farbe und Farbmanagement / Farbraumtransformationen

Erholung: Wandern und Skifahren in Südtirol

Die beste Entspannung für den langersehnten Urlaub in Südtirol: Wandern in Südtirol

bg-turm.gif

Der Reschensee mit der versunkenen Kirche ist das Wahrzeichen der Region in Tirol.

Vacanze in montagna al lago Resia

Copyright © 2000 - 2010 Media Engineering Alle Rechte vorbehalten
Design + Programmierung Media Engineering Ulrike Häßler • Impressum und Nutzungsbestimmungen